Na topie

Niebezpieczny Shellbot atakuje system Linux

Autor:

więcej artykułów ze strefy:
Bezpieczeństwo

Złośliwe oprogramowanie przygotowano w celu wydobywania kryptowaluty Monero. Dlaczego padło akurat na nią?

  • Niebezpieczny Shellbot atakuje system Linux
A A

O działalności cyberprzestępców mamy okazję wspominać (niestety) bardzo często. Właśnie pojawiło się kolejne zagrożenie, tym razem wycelowane w platformę Linux.

Informacje na jego temat zostały opublikowane przez zespół badawczy JASK Special Ops. Chodzi o nową, zmodyfikowaną wersję trojana Shellbot, o którym pierwszy raz można było usłyszeć w listopadzie zeszłego roku. Wygląda na to, że stoją za nią rumuńscy cyberprzestępcy z grupy Outlaw. Jaki cel im przyświeca? Złośliwe oprogramowanie przygotowano w celu wydobywania kryptowaluty Monero, oczywiście bez wiedzy zaatakowanych użytkowników.

Wykorzystywane są tutaj ataki DoS (Denial of Service) oraz brute force na usługi SSH. Dotyczą przede wszystkim przedsiębiorstw i serwerów, a możliwości samego trojana określane są jako całkiem spore. Potrafi on między innymi zbierać dane systemowe i osobiste, kończyć i uruchomiać procesy czy otwierać polecenia powłoki.

Dlaczego padło akurat na tę kryptowalutę? Monero jest bardzo lubiana przez cyberprzestępców z dwóch powodów. Przede wszystkim zapewnia anonimowość przeprowadzanych transakcji, a poza tym dość łatwo wydobywać ją bez wiedzy zaatakowanych użytkowników.

Póki co doniesienia o atakach napływają głównie z Azji Wschodniej i Ameryki Łacińskiej. Najbardziej niepokojące jest to, iż pojawia się ich coraz więcej. To zresztą ogólny trend, szkodliwego programowania związanego z wydobywaniem kryptowalut przybywa lawinowo, na całym świecie i dotyczy to nie tylko systemu Linux.

Źródło: zdnet

Odsłon: 11326 Skomentuj newsa
Komentarze

7

Udostępnij
  1. Damian Szymański
    Oceń komentarz:

    6    

    Opublikowano: 2019-02-07 17:39

    Nie systemy Linux, lecz oprogramowanie PHP. Dziura jest w samym PHP i wszystko na czym działa PHP jest wrażliwe na atak. Trojan zaś w żaden sposób nie atakuje/infekuje Linuksa lecz właśnie owe PHP.
    Tutaj można poczytać o samej luce CVE-2018-20062: https://www.cvedetails.com/cve/CVE-2018-20062/

    Skomentuj

    1. Kenjiro
      Oceń komentarz:

      -8    

      Opublikowano: 2019-02-07 20:36

      CVS, który podałeś dotyczy luki w NoneCms i nie jest powiązany z Shellbotem, aczkolwiek jest możliwe użycie tej luki do implantacji Shellbota, co ma sens, jeśli uda się użyć konta www do dalszego rozprzestrzenienia, co nie zawsze jest możliwe.
      Najprostszą drogą do złapania Shellbota są słabe hasła na użytkownikach z dostępem do SSH, a tu wystarczy mieć odpowiednio długie i niesłownikowe hasła lub najlepiej wyłączyć logowanie hasłem, a włączyć - kluczem.
      Ewentualnie fail2ban, aby maksymalnie wydłużyć czas skanowania w sytuacji, w której nie ma się wpływu na użytkowników (np. hosting).

      Skomentuj

      1. Kenjiro
        Oceń komentarz:

        2    

        Opublikowano: 2019-02-08 08:26

        Widzę, że niektórym nie jest w smak fakt, iż Linuksa łatwo zabezpieczyć...
        Ten Shellbot to prawie jak wirus grzecznościowy, olej podstawowe zasady bezpieczeństwa, włącz uwierzytelnianie hasłem przez SSH (na świeżych systemach jest domyślnie wyłączone - nie dotyczy oczywiście hostingów), nie używaj kluczy itp...

        Skomentuj

    2. BrumBrumBrum
      Oceń komentarz:

      2    

      Opublikowano: 2019-02-08 11:22

      tego clickbajta widzę już na któryms z kolei portalu. fakt faktem, chodzi o dziurawe php z dziurawym frameworkiem. wirus atakuje wyłącznie to, do czego php ma dostęp. więc jaka rada? wystarczy zamknąć to coś w kontenerze np. w dockerze, i lwia większość problemów pozamiatana, bo w kontenerze harmonogram zadań może być całkowicie wycięty, i inne takie.

      widziałem też porady aby zmienić distro i inne takie, bo jest stare php. równie dobrze można jednak użyć kontenera, i paczki z aktualnym załatanym php.

      Skomentuj

        1. BrumBrumBrum
          Oceń komentarz:

          0    

          Opublikowano: 2019-02-08 13:26

          bo widzę identyczną treść, niemal przedruk lub tłumaczenie tu i ówdzie. bez jakiej kolwiek własnej analizie. coś na zasadzie PAP czy PAI wszystkim rozsyła info o jakimś zdarzeniu, i wszyscy trąbią o tym samym, bez wnikania co to jest.

          Skomentuj

      1. Kenjiro
        Oceń komentarz:

        -4    

        Opublikowano: 2019-02-08 21:08

        To nie ma nic wspólnego z PHP. Wspomniana wyżej dziura jest w kodzie strony, która jest napisana w PHP, a równie dobrze mogłaby być napisana w C, Pythonie czy Perlu.
        Tak jak luka w Drupalu, czy Wordpressie to luka w Drupalu/Wordpressie, a nie w PHP.
        Poza tym Shellbot korzysta z różnych luk i słabości, a nie tylko z jednego wektora jakim jest luka w NoneCms.

        Skomentuj

  2. dziobolek
    Oceń komentarz:

    -4    

    Opublikowano: 2019-02-09 01:39

    Oj, Panie Redachtórze - do poprawki:
    "...ataków mających na celu wydobywanie kryptowalutów ..."

    Skomentuj

Dodaj komentarz

Przy komentowaniu prosimy o przestrzeganie netykiety i regulaminu.

Aby dodać komentarz musisz być zalogowany!