阿里雲安全 · 2015/11/17 14:24
2023年11月10日,阿里雲安全團隊捕獲到黑客大規模利用redis漏洞的行為,獲取機器root許可權,並植入木馬進行控制,異地登入來自ip:104.219.***.***(異地登入會有報警)。由於該漏洞危害嚴重,因此阿里雲安全團隊在2023年11月11日,簡訊**聯絡使用者修復redis高危漏洞,2023年11月14日,雲盾系統檢測到部分受該漏洞影響淪為肉雞的機器進行ddos攻擊,發現後雲盾系統已自動通知使用者。
分析發現木馬作者,有2個控制協議未完成。 協議
協議格式
分析描述
kill
kill
結束自身程序
dlexec
dlexec ip filepath port
qweebotkiller
qweebotkiller
遍歷程序pid為0到65535,查詢對應檔案,若匹配特徵export %s:%s:%s,則刪除檔案
system
system cmdline
呼叫系統的/bin/sh執行shell指令碼
connect
connect ips arg2 arg3 arg4
有處理函式,但作者把connect的功能給閹割了,並沒有去實現connect協議的功能,因此我們只分析出協議1個引數的意議,另外3個引數不知道意義。
icmp
icmp ips attacktime packetlen
發動icmp協議攻擊
tcptcp ips port attacktime flags packetlen
發動tcp的(fin,syn,rst,psh,ack,urg)ddos攻擊,攻擊時間為秒。
udpudp ips port attacktime packetlen
發動udp攻擊。
sniffsniff
sniffsniff
這個協議木馬並沒有實現功能。
從逆向得到的協議分析可以發現,該木馬的功能主要包括:
檔案md5:9101e2250acfa8a53066c5fcb06f9848
redis漏洞防攻擊
redis伺服器遭攻擊,症狀 1.redis中的快取資料每10分鐘全部被清 2.許多目錄下多了root檔案和一堆隱藏檔案 3.redis多了三個key backup1 backup2 backup3 key值對應的內容如下 backup1 2 curl s cmd bash cmd backup2 ...
CTF XXE漏洞攻擊
f12 檢視原始碼 可以看到傳輸的資料是xml型別 payload打一下 1.0 encoding utf 8 doctype any entity xxe system file flag xxe username 111 password user 首先嘗試直接讀 flag檔案,回顯了報錯資訊,...
SQL注入漏洞攻擊
登陸判斷 select from t users where username and password 將引數拼到sql語句中。構造惡意的password or 1 1 if reader.read response.write 登入成功!else response.write 登入失敗!防範注入...