查看原文
其他

新的 Linux 后门开始肆虐,主要攻击中国服务器

h4cd 开源中国 2019-02-14

一种新的 Linux 系统后门已经开始肆虐,并主要运行在位于中国的 Linux 服务器上。

据 ZDNet 报导,该恶意软件名为 SpeakUp,三周前由 Check Point 安全研究人员发现。研究人员表示黑客利用 PHP 框架 ThinkPHP 的漏洞 CVE-2018-20062 进行攻击,一旦 SpeakUp 入侵易受攻击的系统,那么黑客就可以使用它来修改本地 cron 应用以获得启动持久性,并运行 shell 命令,执行从远程命令与控制服务器(C&C)下载的文件,以及更新或卸载自身。

此外 SpeakUp 还附带了一个内置的 Python 脚本,恶意软件通过该脚本在本地网络中横向传播。脚本可以扫描本地网络以查找开放端口,使用预定义的用户名和密码列表对附近的系统进行暴力破解,并使用以下七个漏洞中的一个来接管未打补丁的系统:

  1. CVE-2012-0874: JBoss 企业应用程序平台多安全绕过漏洞

  2. CVE-2010-1871: JBoss Seam Framework 远程代码执行

  3. JBoss AS 3/4/5/6: 远程命令执行

  4. CVE-2017-10271: Oracle WebLogic wls-wsat 组件反序列化 RCE

  5. CVE-2018-2894: Oracle Fusion Middleware 的 Oracle WebLogic Server 组件中的漏洞

  6. Hadoop YARN ResourceManager - Command Execution

  7. CVE-2016-3088: Apache ActiveMQ 文件服务器文件上载远程执行代码漏洞

Check Point 表示 SpeakUp 可以在六种不同的 Linux 发行版甚至 macOS 系统上运行,其背后的黑客团队目前主要使用该恶意软件在受感染的服务器上部署 Monero 加密货币矿工,并且目前已经获得了大约 107 枚 Monero 币,大约是 4500 美元。

目前感染的地图显示,SpeakUp 受害者主要集中在亚洲和南美洲,其中以中国为主。

研究人员表示,就已经掌握的信息来看,SpeakUp 作者目前仅使用 ThinkPHP 的漏洞 CVE-2018-20062 进行利用,该漏洞允许远程攻击者通过精心使用 filter 参数来执行任意 PHP 代码,但其实他们可以轻松切换到任何其它漏洞,将 SpeakUp 后门扩展到更广泛的目标。


开源中国征稿开始啦!


开源中国 www.oschina.net 是目前备受关注、具有强大影响力的开源技术社区,拥有超过 200 万的开源技术精英。我们传播开源的理念,推广开源项目,为 IT 开发者提供一个发现、使用、并交流开源技术的平台。


现在我们开始对外征稿啦!如果你有优秀的技术文章想要分享,热点的行业资讯需要报道等等,欢迎联系开源中国进行投稿。投稿详情及联系方式请参见:我要投稿


推荐阅读

开源中国 2018 新增开源软件最受欢迎 TOP 50

与 30 家公司过招,得到了这章面试心法

HackerRank:JavaScript 是最知名的编程语言

微软工程师认为 Mozilla 也应该拥抱 Chromium

2019年1月已到,Java 8 要收费了吗?

「好看」一下,分享给更多人↓↓↓

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存