挖矿木马植入服务器分析
用了这么多年 linux,第一次遇到了挖矿木马植入攻击。记录一下分析和解决过程。
相关分享
1
喜欢
mp
mp.weixin.qq.com
/
2021-11-21 18:33
黑客用GitHub服务器自动化挖矿,一次可运行上百矿机
这是社交媒体上的一个言论,谈论的是前不久,黑客白嫖 GitHub 服务器进行挖矿的事件。早在去年 11 月,就有媒体曝出此类事件,可惜到今天似乎仍然未被禁止。
无图
0
喜欢
yq
yq.aliyun.com
/
2019-11-08 15:59
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库
近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端。关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。
无图
1
喜欢
yq
yq.aliyun.com
/
2019-10-21 10:47
生存还是毁灭?一文读懂挖矿木马的战略战术
比特币等虚拟货币在2019年迎来了久违的大幅上涨,从最低3000美元上涨至7月份的14000美元,涨幅达300%,巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列。阿里云安全团队通过对云上僵尸网络家族的监控,发现恶意挖矿已成为黑产团伙主要的牟利方式。2019年共监控到58个成规模的挖矿木马团伙(数据截止到8月底),以累积感染量定义木马活跃度,下图/表是活跃TOP10的木马家族及简介。本文尝试从宏观角度分析、总结挖矿木马常用技术及发展趋势,以期能够给企业安全防护带来启示。
无图
0
喜欢
yq
yq.aliyun.com
/
2019-10-17 17:25
生存还是毁灭?一文读懂挖矿木马的战略战术
比特币等虚拟货币在2019年迎来了久违的大幅上涨,从最低3000美元上涨至7月份的14000美元,涨幅达300%,巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列。阿里云安全团队通过对云上僵尸网络家族的监控,发现恶意挖矿已成为黑产团伙主要的牟利方式。2019年共监控到58个成规模的挖矿木马团伙(数据截止到8月底),以累积感染量定义木马活跃度,下图/表是活跃TOP10的木马家族及简介。本文尝试从宏观角度分析、总结挖矿木马常用技术及发展趋势,以期能够给企业安全防护带来启示。
无图
0
喜欢
yq
yq.aliyun.com
/
2019-09-03 16:13
威胁快报|Solr dataimport成挖矿团伙新型利用方式
近日,阿里云安全团队监测到挖矿团伙利用solr dataimport RCE(CVE-2019-0193)作为新的攻击方式对云上主机进行攻击,攻击成功后下载门罗币挖矿程序进行牟利。该团伙使用的恶意脚本与之前报道的“威胁预警 | watchbog挖矿蠕虫升级,利用Bluekeep RDP等多个漏洞蓄势待发”文章所提团伙使用的基本一致,因此基本认为是同一团伙所为。
无图
0
喜欢
yq
yq.aliyun.com
/
2019-06-11 15:22
威胁快报|挖矿团伙8220进化,rootkit挖矿趋势兴起
近日,阿里云安全团队发现8220挖矿团伙为了更持久的驻留主机以获得最大收益,开始使用rootkit技术来进行自我隐藏。这类隐藏技术的使用在watchdogs等挖矿蠕虫使用后开始出现逐渐扩散和进化的趋势,此后预计主机侧的隐藏和对抗将成为主流。
无图
0
喜欢
yq
yq.aliyun.com
/
2019-05-24 15:08
威胁快报|新兴挖矿团伙借助shodan作恶,非web应用安全再鸣警钟
近日,阿里云安全发现了一个使用未授权访问漏洞部署恶意Docker镜像进行挖矿的僵尸网络团伙。我们给这一团伙取名为Xulu,因为该团伙使用这个字符串作为挖矿时的用户名。Xulu并不是第一个攻击Docker的恶意挖矿团伙,但它不同于其他僵尸网络。Xulu感染一台服务器后,并不对外进行大规模扫描,而是使用OSINT技术,即利用开源情报,动态地从shodan网站获得可能的“猎物”ip列表。
无图
0
喜欢
yq
yq.aliyun.com
/
2019-05-09 16:57
挖矿蠕虫肆虐,详解云防火墙如何轻松“制敌”
根据阿里云安全团队发布的《2018年云上挖矿分析报告》显示,过去一年中,每一波热门0 Day的出现都伴随着挖矿蠕虫的爆发性传播,挖矿蠕虫可能因为占用系统资源导致业务中断,甚至还有部分挖矿蠕虫同时会捆绑勒索病毒(如XBash等)给企业带来资金与数据的损失。
无图
0
喜欢
yq
yq.aliyun.com
/
2019-03-13 16:36
Watchdogs利用Redis实施大规模挖矿,常见数据库蠕虫如何破?
2月20日17时许,阿里云安全监测到一起大规模挖矿事件,判断为Watchdogs蠕虫导致,并在第一时间进行了应急处置。
该蠕虫短时间内即造成大量Linux主机沦陷,一方面是利用Redis未授权访问和弱密码这两种常见的配置问题进行传播,另一方面从known_hosts文件读取ip列表,用于登录信任该主机的其他主机。这两种传播手段都不是第一次用于蠕虫,但结合在一起爆发出巨大的威力。
无图
0
喜欢
yq
yq.aliyun.com
/
2019-03-13 15:41
威胁快报|Nexus Repository Manager 3新漏洞已被用于挖矿木马传播,建议用户尽快修复
近日,阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)进行攻击并挖矿的事件。
值得注意的是,这一攻击开始的时间(2月24日),与2月5日上述产品的母公司发布漏洞公告,相隔仅仅半个多月,再次印证了“漏洞从曝光到被黑产用于挖矿的时间越来越短”。此外,攻击者还利用了Supervisord, ThinkPHP等产品的漏洞进行攻击。
本文分析了该木马的内部结构和传播方式,并就如何清理、预防类似挖矿木马给出了安全建议。
无图