Golang蠕虫泛滥让我们揪出其始作俑者

彭洋现在哪里就诊 https://m-mip.39.net/baidianfeng/mipso_9192457.html
概括

不日,海外平安网站SECURITYWEEK表露,一款Go谈话歹意软件正洪量习染Linux效劳器,其行使了多达6种传布习染方法,包罗4个长途履行弱点(ThinkPHP、THinkPHP2、Dural、Confluence),2个弱明码爆破侵犯(SSH、Redis)。坚折服平安团队对该蠕虫举办了追踪。

现在为止,歹意软件较少会行使Go谈话编写,这是由于依赖库的起源,编译出来的程序较为冗余,以下经过VT能够得悉,该模范有近9M那末大。但是,行使Go谈话也有一个利益,便是易于集成第三方的库。

逆向解析

对该模范举办反汇编,能够明确地看到弱点侵犯对应的函数,个中Attack函数是主函数,次序移用getip和checkPort,来搜罗同网段在线的主机IP,以及其怒放端口,若发觉有22、端口怒放,则对其举办弱明码爆破;若发觉有80端口,则对其举办弱点扫描及侵犯。

1、CVE__

CVE__是Confluence的弱点,侵犯exp以下,将payload储备于_template参数中。

2、Drupal

Drupal的侵犯exp以下,对应的CVE编号为CVE--。

3、ThinkPHP

ThinkPHP有两个弱点行使,底下这个是CVE--弱点,行使function=call_user_func_arrayvars[0]=systemvars[1][]=URL行使该弱点履行夂箢。

4、ThinkPHP2

另一个弱点行使跟上头的宛如,侵犯exp以下。

5、Redis爆破

Redis登岸不需求用户名,爆破会行使以下几个弱明码:admin、redis、root、、password、user、test。登岸胜利后,蠕虫会先移用FlushAll清除所珍稀据库,尔后建立一个root数据库来寄放歹意代码,该代码一样会被建立到/var/spool/cron和/etc/cron.d中以完成好久化潜匿。

插入的是底下这个歹意代码,这个代码的道理是,每隔一分钟,就解密履行一次


转载请注明:http://www.aierlanlan.com/tzrz/1173.html