Linux设备沦为矿机,黑客暴力破解SSH


作者:左右里
编辑:釉子
据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。
SSH,一种为远程登录会话和其他网络服务提供安全性的协议。
BitDefender早在5月就针对这个组织的加密劫持活动展开调查,并发现了对方的工具包。他们在一个开放目录顺利追踪到了恶意软件,并发现其自2021年2月起被相关域名 mexalz.us托管过。
以下是当前或以前托管在mexalz.us上的文件汇总:
这个暴力破解工具包被其制作者称为“Diicot brute”,以Golang编写,以单个包开发,包含以下功能:
黑客是如何利用该工具包进行攻击的呢?
整个过程可以分为三个阶段:
侦察:通过端口扫描和横幅抓取识别SSH服务器。
凭据访问:通过暴力识别有效凭据。 初始访问:通过SSH连接并进行感染。
攻击者发现并进入弱SSH凭据的Linux设备后,他们会部署并执行loader从而收集系统信息,并使用HTTP POST将其转发给webhook的攻击者。黑客将在此步骤收集到的信息用于判断被攻击设备的利用价值。
攻击者的另一步操作是更改shell配置、覆写文件。
黑客通过bash禁用了几个shell命令,目的是使shell不被后来者操作。至此,黑客已成功安装门罗币恶意挖矿软件。
据悉,这个工具目前仍有效。据BitDefender称,已查明的IP地址属于一个相对较小的集合,说明本次事件的黑客组织尚未使用受攻击的系统来传播恶意软件。
那么该如何防止SSH 暴力破解呢?
以上方法便是防止SSH暴力破解的一些措施,可供大家参考哦~
推荐文章++++
* 工信部等三部门:任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动
﹀


球分享

球点赞

球在看

-
调查显示甲骨文云服务器确实被攻击并泄露数据 但甲骨文始终没有承认
早前名为 rose87168 的黑客发帖称在 2025 年 2 月份入侵 Oracle Cloud SSO 服务器并拿到 600 万名客户的身份验证数据和加密密码,黑客表示可以使用文件中的信息解密 S
-
东欧黑客向中美ISP发起攻击安装门罗币挖矿软件 超过4000 IP对应服务器被感染
据网络安全威胁研究团队 SPLUNK 发布的分析报告,来自东欧的黑客团伙正在面向中国和美国的 ISP (互联网服务提供商) 发起攻击,此次攻击直接目的就是获得经济利益,因为黑客在服务器上部署挖矿脚本用
-
加密货币交易所Bybit被盗14亿美元后续:朝鲜黑客入侵SafeWallet实现攻击
加密货币交易所 Bybit 此前被黑客盗取价值约 14 亿美元的以太坊,被盗的以太坊位于 Bybit 的仓库钱包中,仓库钱包使用多重签名钱包平台 SafeWallet。在盗窃事件发生后多名加密货币领域
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 支付宝新功能太实用了:健康自测、体检报告解读
- Siri 偷听隐私实锤了吗 苹果想用6个亿和用户和解
- 自学编程,从月薪500到年薪150万,46岁程序员的IT成长之路
- 马斯克计划未来数月裁掉推特75%员工;律师调查GitHub Copilot版权侵犯问题;Firefox 106 发布|极客头条
- 买卖 DALL·E、GPT-3 提示词赚钱,结果还是要被 AI “抢饭碗”?
- 编程语言之父们退休太无聊,纷纷选择重返职场
- 看雪2022 KCTF 春季赛 | 第11题设计思路及解析
- 视频资讯 | GoodWill:一款奇特的勒索软件,你听说过吗?
- 活动 | 5.19 Akamai零信任专题研讨会
- 记一次新型变种QakBot木马分析
- 议题征集中!2021 SDC不见不散!
- Redmi AirDots 3真无线蓝牙耳机:诚意升级,宠爱双耳