黑客靠弱密码打造僵尸网络,结果自己在弱密码上翻车了

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
云数据库 RDS MySQL,高可用系列 2核4GB
简介:

这句话可能有点绕,一个利用物联网设备的弱密码来打造僵尸网络的背后组织,在自家的数据库上又用了弱密码,结果被安全研究人员发现了……

这事说起来有点搞笑,却是最近真实发生的事情。

我们来看看青天科技(NewSky Security)的投稿。

Owari 的 MySQL 数据库

讲 Owari 这个物联网僵尸网络,就得先说说 Mirai 这个物联网僵尸网络的老祖宗。Mirai 的数据库是 MySQL 的,里面有三张表:用户、历史和白名单。好多 Mirai 的后代都开拓了新的方式,不过数据库这块还是用老祖宗的多,Owari 也是这么个好孩纸。

我们的某个蜜罐某天受到一个来自80(.)211(.)232(.)43这个IP的攻击,命令是/bin/busybox OWARI post successful login。我们发现发过来的载荷代码里面想搞一下post 下载。

出于黑客的直觉我们自然去看了看对方的IP,然后发现他们开着3306口,配置MySQL也不改个缺省端口,鄙视一下。


我们就跑去试了一下对方的密码,结果发现:全世界人民都知道啊!

用户名: root

密码: root

数据库里那点事儿

既然门都没关我们就进去瞅了瞅。

用户表里面是一帮控制这个僵尸网络的用户名和密码。有些应该是作者,还有一些是客户,也叫黑箱用户,就是交钱,然后打流量。除了密码,还有能用多久,用多少僵尸,如果是-1就是全军都能用,以及冷却时间,就是打过以后要休息多久的意思。

在这个 Owari 的例子里面,我们找到一个用户的时间是 3600 秒,也就是一小时,而且僵尸总量是-1,大客户啊。注意这里用户密码也是明文的,再鄙视一次。


在历史记录表里面,我们找到了历史攻击IP记录。好多IP地址都没啥关联,我们猜测,是因为他们在打对手的僵尸网络,黑吃黑的意思。

黑客靠弱密码打造僵尸网络,结果自己在弱密码上翻车了

白名单表居然是空的,说明这个僵尸网络胃口很好逮谁打谁。

而且这个还不是孤例,另外一个IP(80.211.45.89)也是一样的root:root登录。

商业模式了解一下

Owari 的代码已经在暗网上面泄露了,所以很难找到原作者。不过我们还是找到了一位代号“疤脸”的僵尸网络操控者,让 TA 讲解一下攻击事件,冷却时间和 Owari 网络的使用价格。

“一般我每个月收费是 60 美元,提供 600 秒的服务。这个价位跟同行比不算高的。不过只有这种方法我才能保证僵尸设备的数量。我不能让十来个用户每个人都跑 1800 秒。我一般不让设备冷却。如果要冷却时间,我一般会设置成最多 60 秒。一个用户每月 60 每月不算多,不过每月有 10 个到 15 个用户的话,我平时的网络费用就够用了” -疤脸

后来

或许大家以为一旦拿到 MySQL 数据库的改写权限,就能删除数据来把僵尸网络给搞掉。可惜事情没有这么简单,因为僵尸网络控制服务器 CnC 的 IP 地址很快就会失效(平均有效期是一周)。僵尸网络的控制者知道自己的 IP 地址很快就会被标记为恶意,因为流量太差了。所以,他们经常会主动的改变IP来躲开监控。我们文中提到的两个 IP 地址都已经下线了。


原文发布时间为:2018-06-5

本文作者:李勤

本文来自云栖社区合作伙伴“雷锋网”,了解相关信息可以关注“雷锋网”。

相关实践学习
如何快速连接云数据库RDS MySQL
本场景介绍如何通过阿里云数据管理服务DMS快速连接云数据库RDS MySQL,然后进行数据表的CRUD操作。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
7月前
|
SQL 运维 安全
黑客(网络安全)技术自学——高效学习
黑客(网络安全)技术自学——高效学习
89 1
|
安全 算法 区块链
花无涯带你走进黑客世界之Tor洋葱网络
Tor本来是为用户提供匿名上网保护用户隐私的工具,但是对于一些用户来说,他们可以利用Tor的隐蔽性进行黑客攻击或非法交易活动。总结Tor的恶意应用主要表现在以下几方面。
382 0
|
1月前
|
机器学习/深度学习 人工智能 安全
AI与网络安全:防御黑客的新武器
在数字化时代,网络安全面临巨大挑战。本文探讨了人工智能(AI)在网络安全中的应用,包括威胁识别、自动化防御、漏洞发现和预测分析,展示了AI如何提升防御效率和准确性,成为对抗网络威胁的强大工具。
|
1月前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
1月前
|
安全 网络协议 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
|
1月前
|
网络协议 安全 NoSQL
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
|
1月前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
|
2月前
|
存储 传感器 安全
你应该知道的十大常见的黑客网络技术
你应该知道的十大常见的黑客网络技术
58 2
|
1月前
|
人工智能 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(4-2):渗透测试行业术语扫盲完结:就怕你学成黑客啦!)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(4-2):渗透测试行业术语扫盲完结:就怕你学成黑客啦!)作者——LJS