警惕����!“8220”挖礦木馬來襲��,將服務(wù)器變“礦機”
2020年06月18日
近日����,安全團隊捕獲到“8220”挖礦木馬樣本?�!?220”團伙利用漏洞��、弱口令等方式攻擊Windows���、Linux系統(tǒng)���,通過攻擊腳本在失陷機器上安裝Tsunami僵尸網(wǎng)絡(luò)木馬以便實施DDoS攻擊,植入dbuseted挖礦木馬進行門羅幣挖礦���,將服務(wù)器變“礦機”����。
攻擊者入侵服務(wù)器后從http://107.189.11.170/2start.jpg下載偽裝成JPG格式圖片的2start.jpg腳本����。
2start.jpg腳本執(zhí)行netstat命令,查找當前服務(wù)器上端口為3333����、4444、5555���、7777�����、14444等的連接����,結(jié)束對應(yīng)PID的進程,清理其他挖礦木馬�,以便獨占資源。
將命令拼接進payload變量���,下載2start.jpg腳本��,調(diào)用python從107.189.11.170黑客服務(wù)器上讀取d.py腳本的內(nèi)容并執(zhí)行�����。
d.py腳本運行后��,判斷操作系統(tǒng)位數(shù)����,從服務(wù)器下載對應(yīng)挖礦木馬和go腳本到/var/tmp目錄并修改其權(quán)限為777�����。
d.py腳本從服務(wù)器讀取b.py內(nèi)容并執(zhí)行���。
b.py腳本下載Tsunami僵尸網(wǎng)絡(luò)木馬到/var/tmp目錄下并修改其權(quán)限為777�����。
2start.jpg腳本以root權(quán)限將下載命令分別寫入到/etc/cron.d/root��、/etc/cron.d/apache�����、/etc/cron.d/nginx�、/var/spool/cron/root等程序的計劃任務(wù)中����。
go腳本啟動2個挖礦進程dbusted,并傳遞參數(shù)-c和-pwn�,執(zhí)行挖礦。
防護建議
針對“8220”挖礦木馬����,可通過以下方式進行防御或查殺:
1、 更改系統(tǒng)及應(yīng)用使用的默認密碼�����,配置高強度密碼認證�,并定期更新密碼。
2���、及時修復(fù)系統(tǒng)及應(yīng)用漏洞����。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
一站式優(yōu)質(zhì)IT服務(wù)資源平臺
為IT管理者創(chuàng)造價值
http://hbshty.cn/
免費咨詢熱線:400-6776-989
