forum.opennet.ru

Составление сообщения

Исходное сообщение

"75% общедоступных серверов Redis поражены вредоносным ПО"
Отправлено opennews, 02-Июн-18 21:59

Исследователи из компании Imperva проанализировали (https://www.imperva.com/blog/2018/06/new-research-shows-75-o.../) состояние публично доступных серверов Redis, из-за недосмотра или ошибки конфигурации принимающих запросы из глобальной сети без аутентификации. Сканирование открытого порта 6379 в сервисе Shodan выявило (https://www.shodan.io/search?query=port%3A6379) 72 тысячи принимающих соединения серверов, из которых только 10 тысяч корректно смогли обработать запрос без ошибки. Проверка специфичных для известного вредоносного ПО ключей на ответивших Redis-серверах показала, что 75% из них поражены вредоносным ПО, как правило выполняющим майнинг криптовалют.

Для определения связанных с вредоносным ПО ключей и изучения поведения атакующих был создан подставной honeypot-сервер, который был атакован менее чем через сутки после появления в сети. Суть зафиксированных на подставном сервере атак сводится к созданию в памяти пары ключ/значение с последующим экспортом данных в файл, размещённый в доступных на запись каталогах со сценариями автоматического выполнения заданий, таких как /var/spool/cron/crontab и /etc/crontabs. Как правило атакующие запускали код для загрузки и запуска систем майнинга и подменяли ssh-ключи в локальной ФС для организации последующего удалённого входа на сервер. Примечательно, что в разных зафиксированных атаках сохранялись идентичные ssh-ключи, что свидетельствует об активности ботнета, контролируемого одними и теми же злоумышленниками.
URL: https://www.imperva.com/blog/2018/06/new-research-shows-75-o.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48705

Исходное сообщение
"75% общедоступных серверов Redis поражены вредоносным ПО" Отправлено opennews, 02-Июн-18 21:59
Исследователи из компании Imperva проанализировали (https://www.imperva.com/blog/2018/06/new-research-shows-75-o.../) состояние публично доступных серверов Redis, из-за недосмотра или ошибки конфигурации принимающих запросы из глобальной сети без аутентификации. Сканирование открытого порта 6379 в сервисе Shodan выявило (https://www.shodan.io/search?query=port%3A6379) 72 тысячи принимающих соединения серверов, из которых только 10 тысяч корректно смогли обработать запрос без ошибки. Проверка специфичных для известного вредоносного ПО ключей на ответивших Redis-серверах показала, что 75% из них поражены вредоносным ПО, как правило выполняющим майнинг криптовалют. Для определения связанных с вредоносным ПО ключей и изучения поведения атакующих был создан подставной honeypot-сервер, который был атакован менее чем через сутки после появления в сети. Суть зафиксированных на подставном сервере атак сводится к созданию в памяти пары ключ/значение с последующим экспортом данных в файл, размещённый в доступных на запись каталогах со сценариями автоматического выполнения заданий, таких как /var/spool/cron/crontab и /etc/crontabs. Как правило атакующие запускали код для загрузки и запуска систем майнинга и подменяли ssh-ключи в локальной ФС для организации последующего удалённого входа на сервер. Примечательно, что в разных зафиксированных атаках сохранялись идентичные ssh-ключи, что свидетельствует об активности ботнета, контролируемого одними и теми же злоумышленниками. URL: https://www.imperva.com/blog/2018/06/new-research-shows-75-o.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=48705

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователи из компании Imperva проанализировали (https://www.imperva.com/blog/2018/06/new-research-shows-75-of-open-redis-servers-infected/) 
> состояние публично доступных серверов Redis, из-за недосмотра или ошибки конфигурации 
> принимающих запросы из глобальной сети без аутентификации. Сканирование открытого порта 
> 6379 в сервисе Shodan выявило (https://www.shodan.io/search?query=port%3A6379) 72 тысячи 
> принимающих соединения серверов, из которых только 10 тысяч корректно смогли обработать 
> запрос без ошибки. Проверка специфичных для известного вредоносного ПО ключей на 
> ответивших Redis-серверах показала, что 75% из них поражены вредоносным ПО, как 
> правило выполняющим  майнинг криптовалют.

> Для определения связанных с вредоносным ПО ключей и изучения поведения атакующих был 
> создан подставной honeypot-сервер, который был атакован менее чем через сутки после 
> появления в сети. Суть зафиксированных на подставном сервере атак сводится к 
> созданию в памяти пары ключ/значение с последующим экспортом данных в файл, 
> размещённый в доступных на запись каталогах со сценариями автоматического выполнения заданий, 
> таких как /var/spool/cron/crontab и /etc/crontabs. Как правило атакующие запускали код 
> для загрузки и запуска систем майнинга и подменяли ssh-ключи в локальной 
> ФС для организации последующего удалённого входа на сервер. Примечательно, что в 
> разных зафиксированных атаках сохранялись идентичные ssh-ключи, что свидетельствует 
> об активности  ботнета, контролируемого одними и теми же злоумышленниками.

> URL: https://www.imperva.com/blog/2018/06/new-research-shows-75-of-open-redis-servers-infected/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=48705

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру