5年老洞再被利用?Linux 服务器被用于挖矿牟利数百万美元

 

一个黑客组织利用了 Cacti “Network Weathermap”插件中一个存在5年之久的漏洞,在 Linux 服务器上安装了一个门罗币挖矿机,牟利近7.5万美元。

趋势科技公司的研究人员表示,他们发现这些攻击和之前针对 Jenkins 服务器的攻击之间存在关联。一个黑客组织通过利用 CVE-2017-1000353 漏洞,将门罗币挖矿机安装在 Jenkins 上,牟利约300万美元。

这次,攻击者利用的是存在于 PHP 开源网络监控和图形工具 Cacti 中的漏洞 CVE-2013-2618。更具体点讲,这个漏洞存在于负责将网络活动可视化的 Network Weathermap 插件中。

和此前的多起攻击类似,黑客利用该漏洞获得在底层服务器上执行代码的能力,他们从服务器中下载并安装了合法门罗币挖矿软件 XMRig 的自定义版本。

攻击者还每隔三分钟修改这个本地 cron 任务以触发“watchdog”Bash 脚本。该脚本旨在检查这款门罗币挖矿机是否仍处于活跃状态并在其宕机时重启 XMRig 的进程。

攻击者通过这种简单的操作模式共牟利 320 XMR (折合7.5万美元)。所有受感染的服务器运行的都是 Linux 系统,多数受害者位于日本(12%)、中国(10%)、中国台湾(10%)和美国(9%)。

由于 Cacti 系统通常只在运行并监控内部网络,这类实例从最开始就不应该能在网络上访问。未经修复的系统运行近5年之久对于系统所有人而言也是一种安全大忌。服务器管理员需要马上修复这个漏洞。

 

(完)