警惕����!“8220”挖礦木馬來襲�����,將服務(wù)器變“礦機”
2020年06月18日
近日��,安全團隊捕獲到“8220”挖礦木馬樣本���。“8220”團伙利用漏洞��、弱口令等方式攻擊Windows�、Linux系統(tǒng)�,通過攻擊腳本在失陷機器上安裝Tsunami僵尸網(wǎng)絡(luò)木馬以便實施DDoS攻擊,植入dbuseted挖礦木馬進行門羅幣挖礦��,將服務(wù)器變“礦機”�。
攻擊者入侵服務(wù)器后從http://107.189.11.170/2start.jpg下載偽裝成JPG格式圖片的2start.jpg腳本。
2start.jpg腳本執(zhí)行netstat命令��,查找當前服務(wù)器上端口為3333���、4444����、5555、7777�、14444等的連接,結(jié)束對應(yīng)PID的進程�,清理其他挖礦木馬,以便獨占資源��。
將命令拼接進payload變量�����,下載2start.jpg腳本���,調(diào)用python從107.189.11.170黑客服務(wù)器上讀取d.py腳本的內(nèi)容并執(zhí)行��。
d.py腳本運行后�����,判斷操作系統(tǒng)位數(shù)����,從服務(wù)器下載對應(yīng)挖礦木馬和go腳本到/var/tmp目錄并修改其權(quán)限為777��。
d.py腳本從服務(wù)器讀取b.py內(nèi)容并執(zhí)行�。
b.py腳本下載Tsunami僵尸網(wǎng)絡(luò)木馬到/var/tmp目錄下并修改其權(quán)限為777��。
2start.jpg腳本以root權(quán)限將下載命令分別寫入到/etc/cron.d/root��、/etc/cron.d/apache���、/etc/cron.d/nginx、/var/spool/cron/root等程序的計劃任務(wù)中��。
go腳本啟動2個挖礦進程dbusted�,并傳遞參數(shù)-c和-pwn,執(zhí)行挖礦�����。
防護建議
針對“8220”挖礦木馬��,可通過以下方式進行防御或查殺:
1����、 更改系統(tǒng)及應(yīng)用使用的默認密碼�����,配置高強度密碼認證�,并定期更新密碼�。
2�、及時修復(fù)系統(tǒng)及應(yīng)用漏洞。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
一站式優(yōu)質(zhì)IT服務(wù)資源平臺
為IT管理者創(chuàng)造價值
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989
