騰訊主機安全(雲鏡)捕獲H2Miner挖礦木馬最新變種,該變種利用Redis 4.x/5.x主從同步命令執行漏洞(CNVD-2019-21763)攻擊雲服務器,檢測數據顯示該木馬活動有明顯增長。由於用戶將Redis默認端口6379暴露在公網且未使用強密碼認證,導致攻擊者入侵並通過Redis 4.x/5.x版本的主從同步功能執行任意代碼。 H2Miner變種木馬入侵後會下載kinsingXXXXXXXXXX(10位隨機字符)木馬作為挖礦木馬kdevtmpfsi的維持進程,並且通過安裝定時任務持久化、通過SSH復用連接進行橫向移動感染。 H2Miner挖礦木馬會佔用大量CPU資源進行挖礦計算,可能導致業務系統崩潰,該挖礦木馬還會嘗試卸載雲服務器的安全軟件。