Новый майнер атакует Linux- и Windows-серверы

Blue Sunset

Профессионал
Ветеран пробива
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐
ЗАБАНЕН
Private Club
Регистрация
27/11/16
Сообщения
4.409
Репутация
19.455
Реакции
22.575
RUB
0
Сделок через гаранта
92
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Атаки с использованием вредоносного ПО RubyMiner начались 9-10 января.

260c029ce9e3357c171ae45ff57ce500.jpg


Атаки с использованием вредоносного ПО RubyMiner начались 9-10 января.

Исследователи Check Point и Certego обнаружили новый вариант вредоносного ПО для серверов под управлением Linux и Windows. RubyMiner представляет собой майнер криптовалюты Monero, предназначенный для атак на устаревшие серверы. Атаки с его использованием начались 9-10 января 2018 года.

Для поиска уязвимых web-серверов операторы майнера используют инструмент p0f. Обнаружив сервер с устаревшим ПО, злоумышленники эксплуатируют следующие известные уязвимости: выполнение кода в фреймворке Ruby on Rails ( CVE-2013-0156 ), выполнение кода в PHP php-cgi ( CVE-2012-1823, CVE-2012-2311 , CVE-2012-2335, CVE-2012-2336 и CVE-2013-4878) и раскрытие исходного кода в Microsoft IIS ASP (CVE-2005-2678).

Исследователи отметили ряд отличительных черт атак с использованием RubyMiner:

Код эксплоита содержит серию шелл-команд;

Атакующие добавили в cron новое задание, выполняемое каждый час (hourly);

Каждый час cron загружает скрипт, размещенный online;

Загружаемый скрипт находится в файле robots.txt на различных доменах;

Скрипт загружает и устанавливает модифицированную версию легитимного приложения XMRig для майнинга криптовалюты Monero.

По данным Check Point, RubyMiner уже инфицировал порядка 700 серверов. В загружаемой вредоносом кастомизированной версии XMRig исследователи нашли адрес криптовалютного кошелька. Судя по нему, операторы уже успели заработать на майнинге порядка $540.

P0f – инструмент, использующий массив сложных, исключительно пассивных механизмов снятия отпечатков трафика для идентификации игроков, стоящих за любым случайным TCP/IP соединением, без какого-либо вмешательства.

cron – классический демон, использующийся для периодического выполнения заданий в определенное время. Регулярные действия описываются инструкциями, помещенными в файлы crontab и в специальные директории.
 
Сверху Снизу