国外安全公司PAN发布的最新报告显示目前有黑客团伙开发恶意软件专门渗透Linux 服务器用来挖掘门罗币,这个黑客团队主要向使用Apache Strusts 2、Oracle WebLogic、Adobe ColdFusion的云服务器发动攻击,众所周知上述知名软件的旧版本被发现存在严重的安全漏洞,当然漏洞都是很久以前的新版本早就修复漏洞,但毫无疑问还有很多企业依然没有升级软件还在使用存在漏洞的旧版本,黑客希望通过这些漏洞感染服务器。
自动化脚本批量检测扫描自动感染:
黑客团队编写的自动化脚本利用爬虫扫描各个网站和服务器,如果检测到存在漏洞那就使用漏洞进行渗透等,成功渗透后会下载恶意脚本并写入开机自启动保持持久性,然后便开始执行脚本利用处理器能力挖掘门罗币,该恶意脚本还会检测其他挖矿进程:黑客估计也知道存在这些漏洞迟早也会被竞争对手盯上所以要沙掉进程,此外该恶意脚本还会自动配置iptables 规则阻止其他恶意软件,隐藏自身进程以及卸载其他云安全产品等等。
针对阿里云和腾讯云的服务器:
研究人员发现该恶意软件应该是主要针对中国大陆的用户的,因为它会卸载阿里云和腾讯云的安全监控组件,例如阿里云态势感知 (安骑士)、阿里云监控插件、阿里云自动管理插件、腾讯云监控插件、腾讯云云镜插件,阿里云和腾讯云是国内占有率较高的云服务器提供商,所以黑客团队也针对上述品牌的服务器进行特别处理,当然本身这款恶意软件并不只攻击阿里云和腾讯云的产品,但至少可以说明病毒作者大概率是国内黑客团队,安全公司目前已将上述情况通报给阿里云和腾讯云,用户可在控制台里查看最近的威胁信息检查是否被感染。
顺便提下: 这个恶意软件的通信(远程)服务器还分别托管在腾讯云的成都数据中心和阿里云的杭州数据中心。
