The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.01.2018 22:47  Вредоносное ПО организует майнинг криптовалют на серверах с незакрытыми уязвимостями

Исследователи из компании Checkpoint выявили вредоносное ПО RubyMiner, которое поражает незащищённые серверы Linux и Windows, и запускает код для майнинга криптовалют. Для распространения RubyMiner атакует достаточно старые критические уязвимости в PHP, Ruby on Rails и ASP, устранённые в 2012, 2013 и 2005 годах. По предварительной оценке экcплуатация данных уязвимостей позволила поразить около 700 серверов, которые, как правило, давно оставлены без присмотра, что позволяет длительное время использовать их ресурсы для майнинга.

Для определения уязвимых серверов применяется сканирование сети при помощи утилиты p0f. При обнаружении очередного уязвимого сервера к нему применяется один из шести эксплоитов, после чего в случае атаки на Linux-сервер RubyMiner добавляет в cron задание для периодической загрузки с внешнего сервера скрипта для осуществления вредоносных действий. Примечательно, что для скрытия своего присутствия скрипт загружается в файл robots.txt. После активации скрипт, в свою очередь, загружает и устанавливает модифицированную версию штатного приложения XMRig для майнинга криптовалюты Monero.

Также можно отметить вредоносное ПО PyCryptoMiner, нацеленное на проникновение через эксплуатацию выявленной в прошлом году уязвимости в сервере приложений JBoss или через подбор типовых паролей к SSH. PyCryptoMiner написан на языке Python, использует сервис Pastebin.com для передачи управляющих команд и включает бинарные компоненты для майнинга криптовалюты Monero, основанные на xmrMiner. По данным исследователей, построенный при помощи PyCryptoMiner ботнет уже заработал 158 Monero, что соответствует примерно 45 тысячам долларов (неделю назад, в пик роста курса было 80 тысяч долларов).

Дополнение: Китайскими исследователями из компании Netlab 360 обнаружен вариант вредоносного ПО Satori, адаптированный для атак на системы майнинга криптовалют. Satori атакует некорректно настроенное ПО Claymore Miner (по умолчанию принимает запросы на сетевом порту 3333 без аутентификации по паролю), часто используемое в фермах майнинга, и в случае успешной атаки заменяет номера кошельков, на которых накапливаются доходы от майнинга. На одном из указываемых злоумышленниками кошельков уже накопилось более 1 Ethereum (более 1000 долларов). Судя по динамике пополнения кошелька атакующие обладают ресурсами для перебора примерно 2100 млн хэшей в секунду, что эквивалентно 85 компьютерам с графической картой Radeon Rx 480 или 1135 компьютерам с картой GeForce GTX 560M.

  1. Главная ссылка к новости (https://research.checkpoint.co...)
  2. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
  3. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  4. OpenNews: Трём миллионам уязвимых JBoss-серверов угрожает атака вредоносного шифровальщика
  5. OpenNews: Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком
  6. OpenNews: Более 5900 интернет-магазинов поражены вредоносным ПО для перехвата номеров кредитных карт
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 23:16, 17/01/2018 [ответить] [смотреть все]    [к модератору]
  • +5 +/
    Побуждает админов серверов закрывать уязвимости!
     
     
  • 2.3, пох, 23:26, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • –18 +/
    мальчик, ты ди6ил Оно побуждает админов начать майнить самим, подвинув бесполез... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, Аноним, 00:01, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Зависит от типа коинов Биткоины - бестолку, потому что для них наделали скорост... весь текст скрыт [показать]
     
  • 3.12, Аноним, 02:48, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ну так админ сперва запатчит сервер чтобы халявщиков уйти, а потом майнить будет... весь текст скрыт [показать]
     
  • 3.22, Аноним, 08:16, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Если ты миллион-другой таких компьютеров взломаешь тогда можно и на cpu в пуле п... весь текст скрыт [показать]
     
     
  • 4.25, лж__, 09:51, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Новость не читал Никакие-не-миллионы успешно намайнили 45 килобаксов МКАДышам ... весь текст скрыт [показать]
     
     
  • 5.33, одмин, 12:29, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    да мне кажется, кусок достаточно жырный и для дальнего замкадья, даже того, кото... весь текст скрыт [показать]
     
  • 5.42, Аноним, 00:42, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Там вон какое-то чудило сообщило что есть 4 млн майнеров, пул хочу При том кл... весь текст скрыт [показать]
     
     
  • 6.53, пох, 14:42, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    то есть оно вот совсем жядное, и с владельцами существующих пулов делиться не хо... весь текст скрыт [показать]
     
     
  • 7.55, Аноним, 05:19, 21/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Видимо майнинг на цпу, так что это наверное альткоины Они не столь популярны, т... весь текст скрыт [показать]
     
  • 5.48, Ordu, 07:34, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Читал Там ничего не написано про то, сколько именно хостов намайнили 45 килобак... весь текст скрыт [показать]
     
     ....нить скрыта, показать (10)

  • 1.2, Аноним, 23:24, 17/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Полон опасностей криптомирок ... весь текст скрыт [показать]
     
     
  • 2.26, лж__, 09:53, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Это наброс насчёт падения цены Дык, он может подождать 5-10 лет, глядишь превра... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, mickvav, 12:16, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну и никто не мешает потихоньку попереводить между разными кошельками Докажи по... весь текст скрыт [показать]
     
  • 1.5, A.Stahl, 23:40, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Ну да, вредоносное ПО совершает вредоносные действия. Да, нужно иногда апдейтить систему. Ну это мы ещё со времён ДОСа знаем. А может и раньше что-то такое было.
     
     
  • 2.34, одмин, 12:30, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    да какие ж вредоносные Полезные и вкусные, в том и прикол И почти без вреда ок... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 00:30, 18/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    капча с дорожныи знаками похуже вещи делает. и все легально.
     
     
  • 2.9, Аноним, 00:52, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Недавно вылазила мне пару раз, так я пройти её так и не смог Так и не понял, чт... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, Аноним, 03:41, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Майнит мозг
     
  • 1.10, Аноним, 01:00, 18/01/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    > серверы
    > Windows

    Кто этим пользуется?

     
     
  • 2.14, Аноним, 02:50, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    > Кто этим пользуется?

    Судя по новости, ботнеты одобряют.

     
  • 1.11, ua9oas, 01:02, 18/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    И а антивирусы могут ли выявлять, что там такое ПО завелось? (А с помощью командной строки как?)

    И есть и другой вариант вредоносов на счет заработков онлайн: вот мне каждый день приходит много спама, что я всего за несколько минут могу "типа намайнить" хорошие деньги, дистанционно сдавая в аренду мощности своего ПК тем лицам (а также что мне поступил платеж, я выиграл (или имею шанс выиграть легкие деньги)). Но далее происходит переход на страницу, что для того, чтобы мне себе такие деньги вывести- мне сначала надо тем лицам не много заплатить (вроде комиссии за конвертацию этих криптовалют (или обычных валют) в обычные деньги, оплатить налог, комиссию за перевод и т.п.). Но это все лохотрон.

     
     
  • 2.15, Аноним, 03:02, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    По вою вентилятора и или нагрузке на CPU легко заметить без всяких антивирусов ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.35, пох, 12:39, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    чтобы вместо ненужных цифирок получились _деньги_ - заплатить таки придется, и н... весь текст скрыт [показать]
     
     
  • 4.43, Аноним, 01:31, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Циферки в криптовалютах настолько же всем нужны как кусочки крашеной бумаги, циф... весь текст скрыт [показать]
     
     
  • 5.51, пох, 14:40, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ну так за кусочки бумаги тоже норовят процент содрать, или ускакать с твоим коше... весь текст скрыт [показать]
     
     
  • 6.56, Аноним, 06:22, 21/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    С криптокошелем тоже, пропорционально сумме и легкости взлома Донт клац-клац П... весь текст скрыт [показать]
     
     
  • 7.59, пох, 17:12, 25/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    я, во всяком случае, не слышал - это тебе не изготовление платежных суррогатов ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.16, Аноним, 03:09, 18/01/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Майнить на питоне - это мощно.
     
     
  • 2.17, Аноним, 03:40, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Если ты когда-нибудь майнил - с большой вероятностью ты делал это на питоне с по... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, Аноним, 01:34, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    С дуба рухнул Большинство майнеров на сях или плюсах, половина использует OpenC... весь текст скрыт [показать]
     
  • 2.19, Аноним84701, 03:50, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Иногда таки стоит пройти по ссылке и почитать оригинал и далее, по тексту http... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, пох, 15:51, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    и использует cuda что как бы несколько странно При этом оригинал утверждае... весь текст скрыт [показать]
     
     
  • 4.45, Аноним, 01:36, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Там есть вариант cpu-only майнера и opencl под амд рядом На алгоритм посмотри ... весь текст скрыт [показать]
     
     
  • 5.54, пох, 15:15, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    у них же другие названия - так что либо исследователи второй новости чего-то н... весь текст скрыт [показать]
     
     
  • 6.58, Аноним, 07:21, 22/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Возможно Но они там рядом лежат, это легко У видеокарт RAM шустрая и SIMD вычи... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.21, Аноним, 08:12, 18/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Название говорящее Если запускать одну из этих мошеннических ИДЕ на джабке зву... весь текст скрыт [показать]
     
     
  • 2.24, iZEN, 09:48, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    PyCryptoMiner написан на языке Python Был бы на Java, заработал бы не 45 тыс... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Аноним, 09:55, 18/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Да, а на си бы просто свалилось с переполнением буфера.
     
     
  • 4.37, Аноним, 15:21, 18/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Переполнением *кошелька
     
  • 3.41, пох, 23:33, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    вообще-то это только троянец на нем написан Сам майнер c , и по ссылке просто ... весь текст скрыт [показать]
     
  • 1.28, Аноним, 11:18, 18/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Я майнил бейсиком на Радио-86РК, три рубля на мороженку каждые выхи как с куста ... весь текст скрыт [показать]
     
     
  • 2.29, iZEN, 11:45, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    МК-85 не пробовал?
     
  • 2.32, mickvav, 12:19, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Show me your code (c) stallman.
     
  • 1.31, qwertyuser, 12:17, 18/01/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    столкнулся с такой проблемой.
    нгинкс + пхп-фпм
    заметил по нагрузке
    работало это через виртуальный сокет который создавался в дирриктории upload_tmp_dir = /tmp
    mine = stratum+tcp://44ZgtkUc2nqa874BoiLqqjWM69FJF23AtEXHRqtpiQ6EGfTGjVnEfMYX2qCWmuaVcjB25BrVo1ATtHfqQn66LKtxLC3sAnR:x@xmr.crypto-pool.fr:3333/xmr
    пару раз вычищал эти скрипты из пхп. находил вирусню при помощи кламав - {HEX}php.generic.malware.440.UNOFFICIAL FOUND


    просто надо быть внимательнее и запрещать доступы извне к дирректориям прописанными в файлах хтакцесс

     
     
  • 2.46, Аноним, 01:39, 19/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Так и напрашивается идея просто заменить кошель на свой, и пусть себе майнит дал... весь текст скрыт [показать] [показать ветку]
     
  • 2.57, Онон, 11:14, 21/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    root:qwertypassword?
     
  • 1.39, Gannet, 17:51, 18/01/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ну разве это не прекрасно?!
     
  • 1.47, Аноним, 07:02, 19/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Вредоносное ПО организует майнинг криптовалют на серверах Ну хоть где-то кто-... весь текст скрыт [показать]
     
  • 1.49, count0krsk, 11:41, 19/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    У знакомого на винде майнили. Зашли через подбор пароля к юзеру, скачали 2 зипаря с эксплойтами на повышение прав через дыру win32k.sys, но дыра та была в Server 2008 SP2, а у друга стоял 2012 R2. Не прокатило. Тогда стали запускать minergate.exe, тут-то и спалились. Пароль был 6-значный большие-маленькие-спецсимвол. Остался от предыдущих админов, и таких много ещё.
    Так вот, на серваке этом кончаются свободные порты, сначала виснет 1с, потом уже ничем не подключиться. Боты активно лезут подбирать пароли, но закономерность пока не вычислить. CureIT и AVZ говорят всё чисто. Увеличивал MaxUserPort и MaxFreeTcbs, не помогло. Обновлял базы и платформу 1с - аналогично. Что ещё можно сделать кроме перехода обратно на 2008й, чтобы побороть этот косяк?
     
     
  • 2.50, alex118, 12:54, 19/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    мож доступ в инет ему порезать?
     
     
  • 3.52, count0krsk, 14:42, 19/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Сейчас поймали ещё раз этот висун. 1С пишет "Поддержка указанного типа сокетов в этом семействе адресов отсутствует". Ошибка descr=10044 (0x0000273C)
    Сделал ip reset, winsock reset, ребутнул, прописал заново ip, вылезло server-addr = server "Ошибка соединения с сервером 1с предприятия"
    Windows Sockets - 11001(0x00002AF9). этот хост неизвестен
    Прописал в hosts 192.168.0.251 server - не помогло. 127.0.0.1 server - аналогично.
    Зашёл в админку 1с, добавил там сервер с Именем = 127.0.0.1, поднялась, сц*ко. Вот как так... Стоит там Сбис ещё. Может он гадит. Посмотрим, как после сброса стека будет работать.
    Может портов ему мало. В основном и единственном server стояло по-умолчанию 1560:1591. В новом 127.0.0.1 выделил 100 портов. Юзеров сидит человек 5 обычно.  

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor