Linux设备沦为矿机,黑客暴力破解SSH

资讯 作者:看雪学院 2021-07-21 18:59:41 阅读:737

作者:左右里

编辑:釉子



据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。

SSH,一种为远程登录会话和其他网络服务提供安全性的协议。

BitDefender早在5月就针对这个组织的加密劫持活动展开调查,并发现了对方的工具包。他们在一个开放目录顺利追踪到了恶意软件,并发现其自2021年2月起被相关域名 mexalz.us托管过。

 

以下是当前或以前托管在mexalz.us上的文件汇总:


 

这个暴力破解工具包被其制作者称为“Diicot brute”,以Golang编写,以单个包开发,包含以下功能:


 

黑客是如何利用该工具包进行攻击的呢?


整个过程可以分为三个阶段:

  • 侦察:通过端口扫描和横幅抓取识别SSH服务器。

  • 凭据访问:通过暴力识别有效凭据。
  • 初始访问:通过SSH连接并进行感染。

攻击者发现并进入弱SSH凭据的Linux设备后,他们会部署并执行loader从而收集系统信息,并使用HTTP POST将其转发给webhook的攻击者。黑客将在此步骤收集到的信息用于判断被攻击设备的利用价值。



攻击者的另一步操作是更改shell配置、覆写文件。



黑客通过bash禁用了几个shell命令,目的是使shell不被后来者操作。至此,黑客已成功安装门罗币恶意挖矿软件

 

据悉,这个工具目前仍有效。据BitDefender称,已查明的IP地址属于一个相对较小的集合,说明本次事件的黑客组织尚未使用受攻击的系统来传播恶意软件。


那么该如何防止SSH 暴力破解呢?
1、足够复杂的密码
2、修改默认端口号
3、不允许Root账号直接登陆
4、不允许密码登陆,只能通过认证的秘钥来登陆系统
5、借助第三方工具fail2ban防御


以上方法便是防止SSH暴力破解的一些措施,可供大家参考哦~





推荐文章++++

* 苹果iOS 14.7正式发布!可支持MagSafe外接电池无线充电
开发微信抢红包软件被罚475万!
* 谷歌详细披露4个0day漏洞!已有黑客正在利用
* 又一非法采集人脸信息企业被查处!人脸信息保护刻不容缓

* 工信部等三部门:任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动

* 小心Android加密货币云挖矿服务!诈骗App已泛滥
* 工信部开展专项整治,弹窗广告骚扰问题有救了!






公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com




球分享

球点赞

球在看



“阅读原文一起来充电吧!
延伸阅读

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接