警惕����!“8220”挖礦木馬來襲,將服務(wù)器變“礦機”
2020年06月18日
近日��,安全團隊捕獲到“8220”挖礦木馬樣本���?��!?220”團伙利用漏洞��、弱口令等方式攻擊Windows��、Linux系統(tǒng)�����,通過攻擊腳本在失陷機器上安裝Tsunami僵尸網(wǎng)絡(luò)木馬以便實施DDoS攻擊���,植入dbuseted挖礦木馬進行門羅幣挖礦����,將服務(wù)器變“礦機”�。
攻擊者入侵服務(wù)器后從http://107.189.11.170/2start.jpg下載偽裝成JPG格式圖片的2start.jpg腳本�����。
2start.jpg腳本執(zhí)行netstat命令��,查找當(dāng)前服務(wù)器上端口為3333�、4444�、5555、7777�、14444等的連接,結(jié)束對應(yīng)PID的進程����,清理其他挖礦木馬,以便獨占資源����。
將命令拼接進payload變量,下載2start.jpg腳本���,調(diào)用python從107.189.11.170黑客服務(wù)器上讀取d.py腳本的內(nèi)容并執(zhí)行��。
d.py腳本運行后�����,判斷操作系統(tǒng)位數(shù)��,從服務(wù)器下載對應(yīng)挖礦木馬和go腳本到/var/tmp目錄并修改其權(quán)限為777����。
d.py腳本從服務(wù)器讀取b.py內(nèi)容并執(zhí)行。
b.py腳本下載Tsunami僵尸網(wǎng)絡(luò)木馬到/var/tmp目錄下并修改其權(quán)限為777����。
2start.jpg腳本以root權(quán)限將下載命令分別寫入到/etc/cron.d/root、/etc/cron.d/apache�����、/etc/cron.d/nginx���、/var/spool/cron/root等程序的計劃任務(wù)中。
go腳本啟動2個挖礦進程dbusted�,并傳遞參數(shù)-c和-pwn,執(zhí)行挖礦�����。
防護建議
針對“8220”挖礦木馬���,可通過以下方式進行防御或查殺:
1��、 更改系統(tǒng)及應(yīng)用使用的默認密碼�����,配置高強度密碼認證�����,并定期更新密碼���。
2��、及時修復(fù)系統(tǒng)及應(yīng)用漏洞���。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
一站式優(yōu)質(zhì)IT服務(wù)資源平臺
為IT管理者創(chuàng)造價值
http://xufei-js.cn/
免費咨詢熱線:400-6776-989
