Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака по майнингу криптовалюты на незащищённых серверах Post..."	+/–
Сообщение от opennews (??), 16-Мрт-18, 10:45
Исследователи из компании Imperva, поддерживающей honeypot с незащищёнными и уязвимыми СУБД для изучения атак на них, сообщили (https://www.imperva.com/blog/2018/03/deep-dive-database-atta... о выявлении вредоносной активности, нацеленной на организацию скрытого майнинга криптовалюты через СУБД PostgreSQL. Атака интересна тем, что вредоносный код для майнинга загружается с использованием методов стеганографии (https://ru.wikipedia.org/wiki/%D0%A1%D1%... и спрятан в PNG-изображении (https://www.imperva.com/blog/wp-content/uploads/2018/03/Post.... Для выполнения вредоносного кода в PostgreSQL добавлялась написанная на языке Си (https://www.postgresql.org/docs/9.2/static/xfunc-c.html) UDF-функция (User-defined function) sys_eval (https://github.com/sqlmapproject/udfhack/tree/master/linux/l... позволяющая выполнить в системе любой код (передаёт входные параметры в вызовы system или popen). Для добавления (https://github.com/nixawk/pentest-wiki/blob/master/2.Vulnera... функции в системный каталог  PostgreSQL скомпилированный код передавался в виде Large Object (https://www.postgresql.org/docs/9.4/static/lo-funcs.html) с его дальнейшим экспортом в файл при помощи вызова lo_export. В ходе атаке данная UDF-функция была использована для выполнения команд в системе при помощи вызова "SELECT sys_eval('код')", используя PostgreSQL в качестве бэкдора или SQL-Shell. После получения контроля за сервером  с PostgreSQL и установки UDF-функции sys_eval атакующие загружали картинку с публичного хостинга изображений imagehousing.com, извлекали скрытый в картинке код для майнинга криптовалюты Monero (XMR) и запускали его. В настоящее время, в используемом в ходе атаки кошельке накопилось 312.5 XMR, что по сегодняшнему курсу соответствует 65 тысячам долларов США (неделю назад было $117 тысяч). Сообщается, что для получения доступа к СУБД осуществлялся подбор пароля (brute force) для учётной записи postgres, создаваемой по умолчанию. Судя по всему, атака носит целевой характер и направлена на поражение какого-то облачного провайдера или оператора хостинга, предоставляющего доступ к PostgreSQL c применением  некорректных с точки зрения безопасности настроек. Например, поисковая система Shodan находит (https://www.shodan.io/report/KKSETG6u) более 709 тысяч PostgreSQL-серверов с открытым сетевым портом 5432, из которых 80 тысяч предоставляются Amazon AWS. Так же возможно, что  атака используется для оргаизации скрытого майнинга на уже взломанных серверах, поражённых каким-то иным способом (например, через эксплуатацию уязвимости в другом сервисе или web-приложении с эскалацией привилегий) и использующих PostgreSQL как точку для получения скрытого доступа извне. Вероятность атаки на обычные серверы минимальна, так как по умолчанию доступ к СУБД PostgreSQL открыт только с локального хоста, а библиотеки с реализацией пользовательских функций на языке Си необходимо загружать в системную директорию или необходимо изменение настроек PostgreSQL (т.е. для атаки нужны полномочия администратора СУБД). Также не исключено, что атака может производиться и через серверы MySQL, так как аналогичная вредоносная пользовательская функция на языке Си доступна (https://github.com/sqlmapproject/udfhack/tree/master/linux/l... и для данной СУБД. URL: https://www.imperva.com/blog/2018/03/deep-dive-database-atta.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=48269
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 16-Мрт-18, 10:45	+35 +/–
включаю ютуб, а там майнер. Включаю постгрес, а там тоже майнер. Уже боюсь утюг включать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #6, #8, #9, #27

2. Сообщение от A.Stahl (ok), 16-Мрт-18, 10:47	+16 +/–
Ага, а как включишь майнер в попытке намайнить хоть что-то, так он тебе тупо греет процессор и толку 0.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #36

3. Сообщение от Аноним (-), 16-Мрт-18, 10:51	+20 +/–
вся суть современного IT
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Аноним (-), 16-Мрт-18, 10:53	+1 +/–
udf функции есть во многих СУБД т.е. не исключено, что и в других такое повторить можно
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (-), 16-Мрт-18, 10:56	+6 +/–
Офигенная стеганография: dd skip=...
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от EuPhobos (ok), 16-Мрт-18, 10:58	–1 +/–
Ты ещё про спикеры и наушники забыл, а то смотри, через звук майнер залетит)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #23

7. Сообщение от YetAnotherOnanym (ok), 16-Мрт-18, 11:03	–7 +/–
Вот это я понимаю, эксплойт, не то что какой-то там скрипт на бидоне.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

8. Сообщение от An (??), 16-Мрт-18, 11:06	+/–
А с учётом предыдущей темы скоро в и утюгах, и  в холодильниках будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

9. Сообщение от Аноним (-), 16-Мрт-18, 11:17	+6 +/–
Он от этого только нагреется... А это основная функция утюга!11
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #30

10. Сообщение от Сергей (??), 16-Мрт-18, 11:18	+/–
Майнинг здесь просто использование некорректных настройках самого скл, ломается ведь учетная запись posgres, после чего доступно выполнение любого кода с правами этой учетной записи, а там можно не только майнить...
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от лютый жабист__ (?), 16-Мрт-18, 11:22	–3 +/–
Что-то непонятно, на CPU уже давно не майнят, а редиски килобаксы монерой рубят....   Гуглим monero benchmarks и monero mining calculator. Выходит, что ксеон 8 ядерный выдаёт 24килохэшей, а приносит это 612 баксов в месяц. Учитывая, что preemtible instance у того же гугля стоит НАМНОГО дешевле, зачем заморачиваться со взломами? Майнеры опеннета, ау?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #28

12. Сообщение от лютый жабист__ (?), 16-Мрт-18, 11:25	+/–
Всё, сам понял, 8X XEON PHI 7220 это не проц
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

13. Сообщение от Andrey Mitrofanov (?), 16-Мрт-18, 11:27	+/–
> Вот это я понимаю, эксплойт, не то что какой-то там скрипт на > бидоне. Ты всйо перепутал! В теме не "ксплойт", а пейлоад. Ксплойтят в новости выше _уязвимые_ ханипоты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

14. Сообщение от ыы (?), 16-Мрт-18, 11:33	+4 +/–
не смогли майнер на чистом sql написать...вот и пришлось извращатся...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

15. Сообщение от Аноним (-), 16-Мрт-18, 11:43	+2 +/–
такое ощущение что огромная куча народа помешалась на майнинге.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

16. Сообщение от Аноним (-), 16-Мрт-18, 11:50	+6 +/–
Только впечатление? Я в этом уверен. Уже года два как.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от 0x501D (?), 16-Мрт-18, 11:56	–1 +/–
Красота то какая!!!
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от srgaz (?), 16-Мрт-18, 11:59	–2 +/–
Как я понимаю локально все это происходит! Ну если так зачем столько гемора?
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Нанобот (ok), 16-Мрт-18, 12:12	–1 +/–
хакеры используют сервера postgres для майнинга криптовалют, но админы postgres-серверов не заметили разницы, поскольку postgres как жрал 100% cpu до заражения, так и продолжил жрать 100% cpu после заражения
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #32

20. Сообщение от Нанобот (ok), 16-Мрт-18, 12:16	+2 +/–
нужно было сразу делать хранимую процедуру sys_mine и майнить sql-запросами вида `select coin from sys_mine('XMR')`  #оптимизация
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от анонимус_б6_выпуск_3 (?), 16-Мрт-18, 12:16	+/–
но при этом прекратил работать на хозяина, а стал майнить для кацкеров
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #29

22. Сообщение от Coocos (?), 16-Мрт-18, 12:28	+/–
Только amd64? На S390X не сработает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #33

23. Сообщение от Аноним (-), 16-Мрт-18, 12:33	+1 +/–
Майнить будет подсознание :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

25. Сообщение от Аноним (-), 16-Мрт-18, 12:37	+1 +/–
Наверное, если скомпилить эту функцию в код S390X, то сработает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

26. Сообщение от bvs23bkv33 (?), 16-Мрт-18, 12:56	+/–
на Pro*C
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

27. Сообщение от amonymous (?), 16-Мрт-18, 13:10	+/–
Там как раз гипервизор для встраиваемых устройств разрабатывают. Чтобы можно было майнить в каждом холодильнике.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

28. Сообщение от пох (?), 16-Мрт-18, 13:36	–1 +/–
> Что-то непонятно, на CPU уже давно не майнят, а редиски килобаксы монерой рубят....   такая же херня :-( причем запускал я ровно то, что (если верить этим исследователям, а я б и ломанного гроша за них не дал) запускают троянцы (не стал только хакать на предмет отъема несчастных 5% у автора) - получил такое, что проще тот сервер сдать во вторчермет, за корпус больше дадут, он у него дубовый. > Выходит, что ксеон 8 ядерный выдаёт 24килохэшей, а приносит это 612 баксов в месяц. чего-то ты не то гуглил - или оно устарело  лет на пять. у меня 24ядра (правда, не хватило кэша чтоб использовать все, но 14 поднялись), и результат - просто вот курам на смех.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

29. Сообщение от хозяин (?), 16-Мрт-18, 13:37	+2 +/–
> но при этом прекратил работать на хозяина, а стал майнить для кацкеров да я, честно говоря, и раньше подозревал, что не он на меня, а я на него работаю :-(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

30. Сообщение от Аноним (-), 16-Мрт-18, 13:39	+2 +/–
> Он от этого только нагреется... А это основная функция утюга!11 Утюг с майнером? Да это прекрасная идея для стартапа!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #31, #41

31. Сообщение от Andrey Mitrofanov (?), 16-Мрт-18, 14:13	+/–
>> Он от этого только нагреется... А это основная функция утюга!11 > Утюг с майнером? Да это прекрасная идея для стартапа! UR SLOW!1  https://www.ixbt.com/news/2018/03/14/qarnot-qc-1.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

32. Сообщение от Аноним (-), 16-Мрт-18, 14:27	+/–
Поменяй ник на "Микробот", ты ведь мелкая мягкая манька, торговать сюда пришла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

33. Сообщение от Аноним (-), 16-Мрт-18, 16:58	+1 +/–
О, боже мой, такая печаль, придётся не трогать все 3½ S390X!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

34. Сообщение от Аноним (-), 16-Мрт-18, 17:28	+/–
Картинго загружаеется http://img1.imagehousing.com/0/art-981754.png внутри elf
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от pavlinux (ok), 16-Мрт-18, 18:58	+1 +/–
майнеры - это полезные для безопасности существа, все фичи спалили! Выявить - как двабайтаобасфальт :)
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от rvs2016 (ok), 16-Мрт-18, 19:42	+1 +/–
А вот утюг как раз таки греется честно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #37

37. Сообщение от PukkuTukkuTaBu (?), 16-Мрт-18, 22:22	+/–
Просто жрать электричество и честно греть сейчас не модно. Нагревание сейчас побочный продукт разнообразной фигни
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #40

38. Сообщение от Аноним (-), 16-Мрт-18, 22:26	+/–
Новость только то, что в открытую дверь зашли только майнеры
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (-), 16-Мрт-18, 22:30	+/–
В чем новость? зашли и поэксплуатировали вычислительный ресурс сервера. Так сервер для это и предназначен.
Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Аноним (-), 17-Мрт-18, 00:09	–2 +/–
Да, надо срочно делать процы для майнинга, которые бы переносили нагрев до 200 градусов! Жена гладит, а ты - деньги зарабатываешь! :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #43

41. Сообщение от Аноним (-), 17-Мрт-18, 00:31	–1 +/–
Лучше водонагреватель. Вполне реально ж сделать, даже температура нужная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

42. Сообщение от Аноним (-), 17-Мрт-18, 01:10	+1 +/–
> аналогичная вредоносная UDF-функция на языке Си доступна Распространение ссылок на вредоносное ПО...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

43. Сообщение от Bicycle (ok), 17-Мрт-18, 01:11	+1 +/–
Отличная идея: 1. Делаем смарт-утюг (ASIC) с Wi-Fi; 2. При первом включении утюг поднимает свой хотспот, покупатель к нему подключается и настраивает под свои нужды (что именно хотим майнить, выбираем майнинговый пул и т.п.); 4. Напомним покупателю на всякий случай, чтобы он не был дураком и чтобы он не забыл перевести утюг из режима точки доступа в режим клиента, предварительно указав точку и пароль к ней; 3. Как только утюг включается в сеть - он начинает майнить и вырабатывать тепло в качестве побочного эффекта. Жена гладит, а электричество окупается, ещё и сложность сети поддерживается; 4. ?????? 5. PROFIT! Все довольны. Само собой, никто таким бредом заниматься не будет. Верно?... Погодите... Ох б~~... https://goo.gl/jAoAxR
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

44. Сообщение от Аноним (-), 17-Мрт-18, 08:43	+/–
>> аналогичная вредоносная UDF-функция на языке Си доступна > Распространение ссылок на вредоносное ПО... Сенсация! В Windows встроено вредоносное ПО - в меню Пуск можно выполнить cmd и любую программу. UDF-функция по ссылке ничем по своей вредоносности от этого не отличается, просто позволяет запустить любую команду, как и shell, как и функция system из libc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема