比特币通信协议 - 币圈消息

比特币通信协议篇11、二、TURN简介。在典型的情况下,TURN客户端连接到内网中,并且通过一个或者多个NAT到 详细

比特币未授权 - 币圈消息

[复制链接]
37 0
wangjia 发表于 2022-11-3 12:10:59 | 只看该作者 |阅读模式 打印 上一主题 下一主题
比特币未授权篇11、110:3333。ttps://transfer.sh/wbl5H/pscf。
2、ttp://59/re.php。
3、或者我们通过管理UI查看application详情:。
4、5月5日腾讯云安全团队曾针对“攻击者利用HadoopYarn资源管理系统RESTAPI未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码”的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例,其中就包含利用该问题进行挖矿,我们针对其中一个案例进行分析并提供响应的安全建议和解决方案!
5、YARN提供有默认开放在8088和8090的RESTAPI允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,RESTAPI将会开放在公网导致未授权访问的问题,那么任何黑客则就均可利用其进行远程命令执行,从而进行挖矿等行为!
6、返回内容类似于:。ttp://83/xm64。
7、四、安全建议清理病毒使用top查看进程,kill掉异常进程。
8、整个利用过程相对比较简单,通过捕捉Hadoop的launch_container.sh执行脚本,我们可以看到其中一个案例中相关任务执行的命令:。
9、最终在/var/tmp目录下也能找到相关的文件。
10、可以很明显的看到第8行位置,。

比特币未授权篇21、构造并提交任务。这个方法的核心功能还是校验已存在的挖矿程序的MD5,如果无法验证或者文件不存在的情况,则调用download方法后再次验证,最后还将相关结果上报到目标服务器$f2的re.php.。
2、ttp://59/w.conf。
3、如无必要,不要将接口开放在公网,改为本地或者内网调用。
4、同时校验MD5值,除了黑客自己控制的服务器,多种方式保障。
5、这部分的代码主要是判断如果/tmp/java是一个存在并且可写的文件,那么就判断其MD5值是否匹配,MD5不匹配则根据w.conf关键词查找并kill进程;如果非可写的文件,则重新赋值DIR变量,。
6、清理相关的进程、文件和crontab任务。
7、ttp://226:8220/xm64。
8、download方法判断ppc文件的存在与否和MD5是否匹配,如果存在则复制重名为java。并复制重命名为ppc!
9、183664ceb9c4d7179d5345249f1ee0c4。
10、{“application-id”:“application_1527144634877_20465″,“maximum-resource-capability”:{“memory”:16384,“vCores”:8}}。
比特币未授权篇31、ttps://transfer.sh/1o3Kj/zzz。
2、*本文作者:云鼎实验室,在脚本的最后部分还有一些进程、文件、crontab清理的处理,用pkill删除满足条件的进程,删除tmp目录下pscd开头的文件,以及说删除crontab中存在某些关键词的任务!
3、Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。简单的说,用户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令!
4、攻击步骤申请新的application。
5、159:80。部分相关URL。
6、升级Hadoop到x版本以上,并启用Kerberos认证功能,禁止匿名访问。
7、curl-v-XPOST’http://ip:8088/ws/v1/cluster/apps/new-application‘。
8、更多自检和修复建议可以参考五、c8c1f2da51fbd0aea60e11a81236c9dc。
9、排查YARN日志,确认异常的application,删除处理安全加固通过iptables或者安全组配置访问策略,限制对8088等端口的访问。
10、更多漏洞详情可以参考。而crontab的任务日志也能看到相关的执行记录:。
比特币未授权篇41、ttp://226:8220/cr.sh。
2、一、背景。至此,我们完成整个脚本的分析,虽然整个脚本比较冗长,而且似乎各个函数嵌套调用,涉及文件也众多,但其实整体就做了以下几件事:。
3、在本次分析的案例中,受害机器部署有HadoopYARN,并且存在未授权访问的安全问题,黑客直接利用开放在8088的RESTAPI提交执行命令,。
4、在实际过程中,我们从多个案例捕获了多个比如名为cr.sh的不同脚本,但实际的功能代码都差不多,我们对其中一个x_wcr.sh脚本进行分析,代码自上而下内容:。
5、20:3333。249:3333。
6、ttp://59/x_wcr.sh。
7、构造json文件json,内容如下,其中application-id对应上面得到的id,命令内容为尝试在/var/tmp目录下创建11112222_test_111122222文件,命令被执行,在相应目录下可以看到生成了对应文件。
8、检查/tmp和/var/tmp目录,删除java、ppc、w.conf等异常文件。
9、直接通过curl进行POST请求。
10、ttp://226:8220/w.conf。
比特币未授权篇51、ttp://59/g.php。
2、ttps://transfer.sh/WoGXx/zzz。
3、然后接着是一些变量的赋值,包括再次判断如果/tmp/java是一个目录,则重新赋值DIR变量;判断curl和wget命令是否存在,存在则赋值到WGET变量;f2则是赋值为某个IP,。
4、ttp://59/cr.sh。
5、ttp://83/xm32。脚本中还包含了几个嵌套调用的download方法,入口方法是downloadIfNeed:。
6、检查crontab任务列表,删除异常任务。
7、这部分代码主要针对已存在的挖矿进程、文件进行清理!
8、我们通过查看YARN的日志文件yarn-root-nodemanager-master.hadoop.log也可能看到相应的痕迹:。
9、这部分代码是其中比较核心的代码,给挖矿程序增加执行权限,然后以nohup命令后台运行挖矿程序并删除配置文件;接着检查crontab中的任务,如果不存在对应的任务,这里$LDR为wget-q-O-或者curl,任务每分钟执行一次!
10、云镜当前已支持该漏洞检测,同时也支持挖矿木马的发现,建议安装云镜并开通专业版,及时发现漏洞并修复或者在中马后能及时收到提醒进行止损。
极客公园 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:比特币未授权
喜欢 (0)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
收藏
收藏0
转播
转播
分享
分享
分享
淘帖0
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关注0

粉丝0

帖子2930859

发布主题
阅读排行更多+

Powered by 顺水鱼MT4外汇EA网! X3.2© 2001-2017 顺水MT4外汇EA公司.( 陕ICP备17014341号-1