专栏首页云鼎实验室的专栏事件分析 | 一键安装藏隐患,phpStudy 批量入侵的分析与溯源

事件分析 | 一键安装藏隐患,phpStudy 批量入侵的分析与溯源

近日,腾讯安全云鼎实验室监测到大量主机被入侵并添加了一个名为“vusr_dx$”的隐藏帐号;同时,云鼎实验室还监测到此类帐号被大量创建的同时存在对应帐号异地登录的情况。

Windows 的帐号名称后带着“$”符号时,不会在 net user 命令中显示出帐号信息,是攻击者常用的一种隐藏帐号的方法,一般开发者不会添加这种类型的帐号。云鼎实验室对该事件进行跟踪分析,还原了攻击者的入侵手法、入侵后的操作。

一、入侵手法分析

通过对所有被入侵并添加“vusr_dx$”隐藏帐号的主机进行分析统计,发现大多数主机都安装了 phpStudy 组件,Web 目录存在 phpinfo 和 phpMyAdmin,且 MySQL 的 root 用户有 50% 为弱口令。由此可以推断可能导致入侵的原因:

用户在自己云主机通过 phpStudy 一键部署 PHP 环境,默认情况下包含 phpinfo 及 phpMyAdmin 并且任何人都可以访问,同时安装的 MySQL 默认口令为弱口令,于是黑客通过 phpMyAdmin 使用弱口令登录 MySQL,接着利用 MySQL 的一些手段获取到系统权限。

常见利用 MySQL 获取系统权限一般有如下几个方式:

利用 SELECT      "<?system("$_POST[cmd]);?>" INTO OUTFILE      '/path/to/webroot' 语句、或者 general_log 向 Web 目录写入一个 Webshell。由于 phpStudy 的一些原因,其 PHP 进程执行命令后是一个非常高权限的用户(通常为管理员用户或者是 SYSTEM 权限)。

利用 MySQL UDF 来进行命令执行。通常利用 UDF 来执行命令的情况有 PHP 低权限但是 MySQL 是高权限的情况,或者是 PHP 用 disable_functions 限制了调用系统命令执行的方式,所以利用 UDF 来绕过 disable_functions。

这两种手法攻击者都有可能使用,由于攻击者是大批量、持续不断的进行入侵操作,可以推断出攻击者必然是使用了脚本来进行攻击的。

图 1. 攻击者每日成功入侵的机器数量曲线

通过进一步分析调查发现,最终确认攻击者的攻击手法为利用 MySQL 弱口令登录后,修改 general_log 指向 Web 目录下的 sheep.php 的文件,然后利用 shell 创建帐号。下表是 general_log 中时间和帐号创建时间的对应关系,佐证了攻击者的攻击手法。

攻击者使用的 SQL 语句如下图所示:

图2. 攻击者使用的 SQL 语句 payload

图3. sheep.php文件内容

可见,攻击者是针对性的对于 phpStudy 进行攻击。由于 phpStudy 默认安装的 MySQL 密码为 root / root,且开启在外网 3306 端口,在未设置安全组,或者安全组为放通全端口的情况下,极易受到攻击。

攻击者在创建完帐户后,会将挖矿木马上传到路径 C:\ProgramData\Zational\Zational.exe(MD5:cb6f37e76dd233256f1c3303b4e99b1c)并运行。该文件时是一个门罗币挖矿程序, Github 地址为:https://github.com/xmrig/xmrig。

图4. 挖矿进程

二、入侵溯源

黑客在创建了隐藏帐号之后会通过隐藏帐号登录并植入挖矿程序,通过腾讯云云镜捕获的“vusr_dx$”帐号异常登录行为进行来源 IP 归类统计,得到将近60个 IP 地址,包含除了来自于不同 IDC 的 IP,还有部分来自江苏盐城疑似黑客真实 IP:

图5. 部分异常登录来源 IP

初步可以怀疑这批是黑客所控制肉鸡甚至可能包含有黑客真实 IP,进一步针对这些 IP 进行信息收集分析,发现 `103.214.*.*` 存在 phpMyAdmin,同时 MySQL 也存在弱口令,且攻击者在 Web 目录下留下了后门,当即猜测这是攻击者的一台跳板机。进一步分析,获得了黑客的后门帐号 vusr_dx$ 的密码:admin@6********。

进一步针对对于挖矿木马行为进行分析后,发现此木马会连接到域名为gowel.top(IP:202.168.150.44)的代理矿池,由于相关配置没有指定专用矿池用户 token 或者用户名,可以认为这是一个私有的矿池地址,同时我们发现, hxxp://gowel.top:80/ 是一个 HFS,里面有我们获取到的挖矿木马文件。

图6. 该域名80端口 HFS 截图

由于该域名 whois 信息是域名注册商而非黑客本身,无法通过 whois 获取注册者相关信息。

进一步通过遍历异常登录来源 IP 查询内部情报数据,最终发现一个关联 QQ 信息可能为黑客 QQ,QQ 号为12*********,通过搜索引擎搜索该 QQ 号也能证明该 QQ 号主人在进行一些可能的黑客行为:

图7. 对应 QQ 号搜索引擎查询结果

查询对应 QQ 资料:

图8. 对应 QQ 号资料卡

三、解决方案

针对此类攻击,通用的解决方案如下:

1. 在腾讯云控制台设置 CVM 的安全组,尽量不要选用放通全端口,而是针对性的设置需要外网访问的端口,比如 HTTP 的默认端口 80、RDP 的默认端口 3389;

2. 对于 phpStudy 这种集成环境,在安装结束后应修改 MySQL 密码为强密码,不要使用 root / root 或者 root / 123456 等弱口令;

3. 可以选择安装腾讯云云镜,云镜的主机漏洞检测功能支持支持 Windows 隐藏帐户检测、MySQL 弱口令检测等漏洞检测,同时也支持黑客植入的 Webshell 检测。

图9. 云镜对于受攻击主机的漏洞扫描报警

四、IOCs

MD5:cb6f37e76dd233256f1c3303b4e99b1c

矿池地址:hxxp://gowel.top:11588

腾讯安全云鼎实验室

腾讯安全云鼎实验室关注云主机与云内流量的安全研究和安全运营。利用机器学习与大数据技术实时监控并分析各类风险信息,帮助客户抵御高级可持续攻击;联合腾讯所有安全实验室进行安全漏洞的研究,确保云计算平台整体的安全性。相关能力通过腾讯云开放出来,为用户提供黑客入侵检测和漏洞风险预警等服务,帮助企业解决服务器安全问题。

本文分享自微信公众号 - 云鼎实验室(YunDingLab)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-10-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • MySQL 成勒索新目标,数据服务基线安全问题迫在眉睫

    据最新报道显示,继 MongoDB 和 Elasticsearch 之后,MySQL 成为下个数据勒索目标,基线安全问题已经成了 Web 漏洞之外入侵服务器的主...

    云鼎实验室
  • 云鼎百科|“云”里雾里的时光,谁的金句不曾忘?

    一年一度的“教师节”又如期而至,偶然听到街边响起熟悉的旋律,恍然间已离开校园数载光阴,而那段时光里曾陪伴我们青葱记忆最多的就是老师们。 ? 韩昌黎先生曾在《师...

    云鼎实验室
  • 干货 | 云安全挑战赛线上热身赛冠军战队解题分享

    ? GeekPwn 与腾讯安全联合发起的“云安全挑战赛”线上热身赛已经落下帷幕。 经过 48 小时的比拼,Redbud025 战队以最快时间提交了最多正确答案...

    云鼎实验室
  • Iptables防火墙 基础知识

    Iptables防火墙 基础知识 位置 使用vim /usr/sysconfig/iptables 启动、关闭、保存 service iptables stop...

    小小科
  • 学习能力差怎么学好PHP?

    去Stack Overflow上搜一下,去google上搜一下,去github的issue搜一下。忘掉百度吧,不是程序员的真爱。

    程序员小助手
  • 寒冬vs春天 互联网人跳槽指南

    咱们这里应该有不少同学是出于就业或转行的目的而学习编程的。那么现在这一行的就业情况究竟如何?编程教室的合作伙伴 100offer 就 2016 年互联网行业的招...

    Crossin先生
  • GAN的发展系列二(PGGAN、SinGAN)

    在前面的文章里我们已经介绍了GAN生成对抗网络的入门和一些GAN系列,在之后的专辑里会继续介绍一些比较经典的GAN。

    Minerva
  • 华尔街英语中国销售团队的3宗罪

    第一宗 售前: 1 对那些收入相当低下的人(税前工资3000左右的),尽其所能,诱使其购买相当于甚至高于其一年工资总和的服务,最终导致学员无力

    lilugirl
  • 编程的三个境界

    由一个问题开始 作为一个信息技术专业出身的人来说,从来就没有想过这么一个问题 学习编程有什么用? 因为当时完全就是被逼的。 自从打算帮助更多的人学习编程后,很多...

    企鹅号小编
  • 编程小白 | 每日一练(20)

    这道理放在编程上也一并受用。在编程方面有着天赋异禀的人毕竟是少数,我们大多数人想要从编程小白进阶到高手,需要经历的是日积月累的学习,那么如何学习呢?当然是每天都...

    闫小林

扫码关注云+社区

领取腾讯云代金券