黑客組織利用Cacti“Network Weathermap”外掛中一個存在 5 年之久的漏洞,在 Linux 伺服器上安裝了 Monero 礦工,賺了近 75,000 美元。來自美國安全公司趨勢科技的專家表示,他們有證據證明這些攻擊與過去發生在 Jenkins 伺服器上的攻擊有關:黑客組織利用 CVE-2017-1000353 漏洞在 Jenkins 裝置上安裝 Moner 礦工,獲得了約 300 萬美元。
這次,攻擊者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一個基於 PHP 的開源網路監視和圖形工具,更具體地說,是在其 Network Weathermap 外掛中負責視覺化網路活動。
就像在以前的攻擊一樣,黑客利用這個漏洞獲得底層伺服器的程式碼執行能力,在這些伺服器上他們下載並安裝了一個合法的 Monero 挖掘軟體 XMRig 的定製版本。
攻擊者還修改了本地 cron 作業,每三分鐘觸發一次“watchd0g”Bash 指令碼,該指令碼檢查 Monero 礦工是否仍處於活動狀態,並在 XMRig 的程式停止時重新啟動它。
攻擊者使用這種簡單的操作模式收穫了大約 320 XMR(75,000 美元)。所有受感染的伺服器都執行 Linux,大多數受害者位於日本(12%),中國(10%),臺灣(10%)和美國(9%)。
由於 Cacti 系統通常設計為執行並密切關注內部網路,因此不應線上訪問此類例項。
稿源:cnBeta、開源中國