主页 > imtoken钱包苹果手机怎么下载 > 【原创】比特币市值飙升催生大量Golang编写攻击云主机的挖矿木马

【原创】比特币市值飙升催生大量Golang编写攻击云主机的挖矿木马

imtoken钱包苹果手机怎么下载 2023-03-05 05:59:18

一、背景

受近期比特币价格暴涨和数字虚拟货币整体市值飙升的影响,挖矿木马十分活跃。 腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接编写计划任务下载golang语言编写的挖矿木马下载器超人。 罗币挖矿。

腾讯安全近期捕获到大量使用golang语言编写的各种脚本木马。 这些木马利用多个不同Linux服务器组件的高危漏洞或弱口令入侵云服务器挖矿。 这些挖矿木马分析溯源后发现,它们属于不同的黑业团伙,意为“千军万马,漏洞百出,武器弱口令,抢夺云主机挖金”。 . 腾讯安全专家建议政企机构安全运维人员及时修复漏洞,排查弱口令,防止服务器成为黑产业控制的黑鸡。

在这个例子中,一些政企机构在使用Redis时,由于redis的配置不当,比如使用空密码或者弱密码,攻击者可以直接访问redis服务器,通过这个问题可以直接写定时任务比特币挖矿器下载,甚至可以得到直接服务器权限。

腾讯安全专家推荐修复建议:

1、对于没有配置redis密码访问的,需要配置添加用户和密码访问。 弱密码需要强密码。

2、如非必要,不要对外开放redis端口。 如果需要对外开放服务,请正确配置ACL策略。

清理利用漏洞的挖矿木马:

1、清除定时任务中的python3.8m.sh相关条目。

2、确认JavaUpdate和mysqlserver进程异常后,将其杀掉。

3.删除/var/tmp/下的.system-python3.8-Updates和.Javadoc文件夹。

针对supermanminer系列挖矿木马活动,腾讯安全全系产品均已响应拦截。

比特币挖矿器下载_比特币挖矿平台下载_比特币挖矿下载官方下载

比特币挖矿器下载_比特币挖矿平台下载_比特币挖矿下载官方下载

详细回复列表如下:

比特币挖矿器下载_比特币挖矿平台下载_比特币挖矿下载官方下载

比特币挖矿器下载_比特币挖矿下载官方下载_比特币挖矿平台下载

2.详细分析

在使用redis应用时,没有配置访问策略,使得攻击者可以直接使用弱口令或空口令访问redis应用,并通过应用直接向系统写入定时任务或者通过写ssh直接控制服务器公钥文件。

通过 Unauthorized 直接写入计划任务

比特币挖矿下载官方下载_比特币挖矿器下载_比特币挖矿平台下载

在/var/spool/cron/root 中可以看到如下内容

比特币挖矿器下载_比特币挖矿下载官方下载_比特币挖矿平台下载

通过定时任务将脚本下载到pastebin并执行。

比特币挖矿器下载_比特币挖矿平台下载_比特币挖矿下载官方下载

下载的脚本内容是用base64编码的

比特币挖矿下载官方下载_比特币挖矿器下载_比特币挖矿平台下载

解码内容:

比特币挖矿器下载_比特币挖矿下载官方下载_比特币挖矿平台下载

这个脚本的主要作用是判断当前宿主进程是否包含路径/var/tmp/.system-python3.8-Updates,然后指定下载superman文件的站点,命名为f并存放在 /var/tmp/ 目录中。 运行后删除这个文件。

superman 是一个用 go 编写的下载器。 其主要功能是下载核心挖矿程序xmrig和配置文件,并重新下载superman,命名为mysqlserver,写入定时任务持久化运行。

定时任务是运行超人后写的。

比特币挖矿器下载_比特币挖矿平台下载_比特币挖矿下载官方下载

python3.8m.sh的内容是:

比特币挖矿下载官方下载_比特币挖矿器下载_比特币挖矿平台下载

脚本中的mysqlserver在superman下载后重命名,存放在.system-python3.8-updates路径下。

比特币挖矿平台下载_比特币挖矿下载官方下载_比特币挖矿器下载

通过流量分析发现木马会频繁请求,域名对应的IP一直在变化。 本网站主要是查询在NameSilo注册的域名的whois信息。

比特币挖矿平台下载_比特币挖矿器下载_比特币挖矿下载官方下载

通过查看网站源代码,发现源代码中嵌入了一些内容,包括xmirg下载链接、矿池配置、超人下载链接和文件大小等。

比特币挖矿下载官方下载_比特币挖矿器下载_比特币挖矿平台下载

通过查询该域名的相关信息,该域名与namesilo属于同一个组织,判断网站helloomeyou被攻击后比特币挖矿器下载,将这些内容嵌入到网站中。

通过对超人文件的分析,发现其通过正则表达式匹配了相应的内容,分别匹配了超人下载的url、xmrig的下载路径、文件大小和矿池的配置内容。

比特币挖矿平台下载_比特币挖矿下载官方下载_比特币挖矿器下载

超人文件通过github下载xmrig文件,命名为JavaUpdate,存放在/var/tmp/.Javadoc/路径下。 同时通过匹配的矿池内容修改对应的config.json文件。

比特币挖矿平台下载_比特币挖矿下载官方下载_比特币挖矿器下载

配置文件内容:

比特币挖矿下载官方下载_比特币挖矿平台下载_比特币挖矿器下载

比特币挖矿平台下载_比特币挖矿下载官方下载_比特币挖矿器下载

其中,用于挖矿的矿池:54.37.7.208:443(xmrpool.eu)

挖矿钱包:

88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6

根据其223Kh/s的钱包算力计算,该挖矿团伙控制了约10000台电脑进行挖矿。

比特币挖矿器下载_比特币挖矿平台下载_比特币挖矿下载官方下载

超人是用 Go 语言编写的。 除了启动挖矿程序外,它还具有下载文件、执行任意程序、执行远程命令、在线升级、安装crontab定时任务等功能。

比特币挖矿下载官方下载_比特币挖矿平台下载_比特币挖矿器下载

国际奥委会

网址

hxxp://138.124.180.20:8080/超人

hxxps://github.com/xmrig/xmrig/releases/download/v6.6.1/xmrig-6.6.1-linux-x64.tar.gz

比特币挖矿器下载_比特币挖矿平台下载_比特币挖矿下载官方下载

hxxps://pastebin.com/raw/xnxWdRJ8

hxxp://www.hellomyyou.cyou/

MD5

Java更新

a66c6c00d09529066b03070646127286

超人/mysqlserver

96dc8dcd5bf8f6e62c3ce5219e556ba3

矿池地址

xmrpool.eu

钱包地址

88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6

参考链接:

【2022冬季班】《Android高级研修班(网络课程)》正在招生中,月薪3万~

上一篇:比特币暴涨是好事吗(2009年比特币价格是多少)(2023年更新)
下一篇:政府对比特币的态度(比特币交易所人工审核)(1月最新消息)

相关文章

imtoken钱包是imtoken官网旗下产品之一,拥有安卓版本下载、苹果版本下载。imtoken钱包现已更新至2.0、2.5以上版本,imtoken官方为其打造的imtokenapp最新版可供全网端下载。