Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Обновите свой Linux-сервер: обнаружен рост атак с установкой DDoS-ботов и криптомайнеров (http://txgate.io:443/showthread.php?t=8819)

Artifact 02-01-2025 06:08 AM

AhnLab описала процесс получения доступа и дальнейшей деятельности взломщиков на SSH-серверах.
Специалисты Центра экстренного реагирования на инциденты безопасности AhnLab (Security Emergency Response Center, ASEC) предупреждают о росте атак, нацеленных на плохо управляемые SSH-серверы Linux, в первую очередь направленных на установку DDoS-ботов и майнера криптовалюты CoinMiner.
На этапе разведки злоумышленники выполняют сканирование IP-адресов в поисках серверов с активированной службой SSH или портом 22, а затем запускают атаку полным перебором (брутфорс) или атаку по словарю для получения учетных данных. Киберпреступники также могут устанавливать вредоносное ПО для сканирования, выполнять атаки методом перебора и продавать взломанные IP-адреса и учетные данные в даркнете.
Распространенные вредоносные программы, используемые для атак на плохо управляемые SSH-серверы Linux, включают боты ShellBot, Tsunami, ChinaZ DDoS Bot и криптомайнер XMRig.
https://www.securitylab.ru/upload/me...w10omzucz2.png
После успешного входа в систему злоумышленник сначала выполнил следующую команду, чтобы проверить общее количество ядер ЦП.
> grep -c ^processor /proc/cpuinfo
Использование этой команды предполагает, что атакующий оценивал вычислительную мощность системы, возможно, чтобы понять её способности для запуска определенных типов вредоносных программ или инструментов атаки.
Затем киберпреступник снова вошел в систему, используя те же учетные данные, и загрузил сжатый файл. Сжатый файл содержит сканер портов и инструмент атаки по словарю SSH. Кроме того, можно увидеть команды, случайно введенные атакующим, например «cd /ev/network» и «unaem 0a».
В ASEC полагают, что использованные в атаках средства основаны на инструментах, созданных старой командой PRG. Каждый злоумышленник создал свою собственную версию инструментов, модифицировав их.
https://www.securitylab.ru/upload/me...pm1f3q05vz.png
Специалисты рекомендуют администраторам:<ul><li>испол� �зовать надежные пароли, которые трудно угадать, и периодически менять их;</li>
</ul><ul><li>регулярно обновлять ПО до последней версии, чтобы предотвратить атаки, эксплуатирующие известные уязвимости;</li>
</ul><ul><li>использовать брандмауэры для серверов, доступных извне, чтобы ограничить доступ злоумышленников.</li>
</ul>Также необходимо учитывать, что киберпреступники постоянно совершенствуют свои методы и инструменты, поэтому администраторам и ИБ-специалистам следует постоянно оставаться в курсе последних тенденций и разработок в области кибербезопасности. Понимание того, как злоумышленники осуществляют свои атаки, позволит эффективнее противостоять им и защитить ценные данные и ресурсы.


All times are GMT. The time now is 07:29 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.