新的 Linux 后门开始肆虐,主要攻击中国服务器

h4cd
 h4cd
发布于 2019年02月05日
收藏 18

一种新的 Linux 系统后门已经开始肆虐,并主要运行在位于中国的 Linux 服务器上。


据 ZDNet 报导,该恶意软件名为 SpeakUp,三周前由 Check Point 安全研究人员发现。研究人员表示黑客利用 PHP 框架 ThinkPHP 的漏洞 CVE-2018-20062 进行攻击,一旦 SpeakUp 入侵易受攻击的系统,那么黑客就可以使用它来修改本地 cron 应用以获得启动持久性,并运行 shell 命令,执行从远程命令与控制服务器(C&C)下载的文件,以及更新或卸载自身。

此外 SpeakUp 还附带了一个内置的 Python 脚本,恶意软件通过该脚本在本地网络中横向传播。脚本可以扫描本地网络以查找开放端口,使用预定义的用户名和密码列表对附近的系统进行暴力破解,并使用以下七个漏洞中的一个来接管未打补丁的系统:

  • CVE-2012-0874: JBoss 企业应用程序平台多安全绕过漏洞

  • CVE-2010-1871: JBoss Seam Framework 远程代码执行

  • JBoss AS 3/4/5/6: 远程命令执行

  • CVE-2017-10271: Oracle WebLogic wls-wsat 组件反序列化 RCE

  • CVE-2018-2894: Oracle Fusion Middleware 的 Oracle WebLogic Server 组件中的漏洞

  • Hadoop YARN ResourceManager - Command Execution

  • CVE-2016-3088: Apache ActiveMQ 文件服务器文件上载远程执行代码漏洞

Check Point 表示 SpeakUp 可以在六种不同的 Linux 发行版甚至 macOS 系统上运行,其背后的黑客团队目前主要使用该恶意软件在受感染的服务器上部署 Monero 加密货币矿工,并且目前已经获得了大约 107 枚 Monero 币,大约是 4500 美元。

目前感染的地图显示,SpeakUp 受害者主要集中在亚洲和南美洲,其中以中国为主。

研究人员表示,就已经掌握的信息来看,SpeakUp 作者目前仅使用 ThinkPHP 的漏洞 CVE-2018-20062 进行利用,该漏洞允许远程攻击者通过精心使用 filter 参数来执行任意 PHP 代码,但其实他们可以轻松切换到任何其它漏洞,将 SpeakUp 后门扩展到更广泛的目标。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:新的 Linux 后门开始肆虐,主要攻击中国服务器
加载中

精彩评论

X1nFly
X1nFly
tp对参数的检查就一直都有漏洞……
st_lein
st_lein
不打补丁不更新,什么系统都不安全😜
勇闯天亚

引用来自“勇闯天亚”的评论

漏洞根源都是linux里面的

引用来自“脚板薯”的评论

请问你哪里看出来根源是linux里面?https://github.com/nangge/noneCms/issues/21
都不看文章?直接就喷,无脑
勇闯天亚
再让你们整天吹linux世界最安全,你看,用的人多了就病毒多了吧,再得瑟

最新评论(13

攻城狮朋友圈
攻城狮朋友圈
费挺大劲搞个毒,就挖个矿的😂
st_lein
st_lein
不打补丁不更新,什么系统都不安全😜
勇闯天亚

引用来自“勇闯天亚”的评论

漏洞根源都是linux里面的

引用来自“脚板薯”的评论

请问你哪里看出来根源是linux里面?https://github.com/nangge/noneCms/issues/21
都不看文章?直接就喷,无脑
ArcticF0X
ArcticF0X

引用来自“勇闯天亚”的评论

漏洞根源都是linux里面的
请问你哪里看出来根源是linux里面?https://github.com/nangge/noneCms/issues/21
冰力
冰力

引用来自“勇闯天亚”的评论

再让你们整天吹linux世界最安全,你看,用的人多了就病毒多了吧,再得瑟

引用来自“脚板薯”的评论

关Linux什么事情,利用同样的漏洞也能攻击其他的OS
@脚板薯 Windows 还是 FreeBSD ?都应该比 linux 安全吧!
勇闯天亚
漏洞根源都是linux里面的
ArcticF0X
ArcticF0X

引用来自“勇闯天亚”的评论

再让你们整天吹linux世界最安全,你看,用的人多了就病毒多了吧,再得瑟
关Linux什么事情,利用同样的漏洞也能攻击其他的OS
勇闯天亚
再让你们整天吹linux世界最安全,你看,用的人多了就病毒多了吧,再得瑟
不能告诉你我的名字
不能告诉你我的名字

引用来自“爱喝貓的咖啡”的评论

还好,我不是运维。。
这个和运维没啥关系哈
X1nFly
X1nFly
tp对参数的检查就一直都有漏洞……
返回顶部
顶部