AhnLab 描述了黑客在 SSH 服务器上获取访问权限和进一步活动的过程。
AhnLab 安全紧急响应中心 ( ASEC ) 的专家警告称,针对管理不善的Linux SSH服务器的 攻击有所增加,主要目的是安装DDoS机器人和 CoinMiner 加密货币挖矿程序。
在侦察阶段,攻击者扫描IP地址以查找启用了SSH服务或启用了22端口的服务器,然后发起暴力攻击或字典攻击以获取凭证。网络犯罪分子还可以安装扫描恶意软件、执行暴力攻击,并在暗网上出售受损的 IP 地址和凭据。
用于攻击管理不善的 Linux SSH 服务器的常见恶意软件包括 ShellBot、Tsunami、ChinaZ DDoS Bot 和XMRig cryptominer 。
成功登录后,攻击者首先运行以下命令查看CPU核心总数。
7> grep -c ^处理器 /proc/cpuinfo
使用此命令表明攻击者已经评估了系统的处理能力,也许是为了了解其运行某些类型的恶意软件或攻击工具的能力。
然后,网络犯罪分子使用相同的凭据再次登录并下载压缩文件。压缩文件包含端口扫描器和SSH字典攻击工具。此外,您还可以看到攻击者意外输入的命令,例如“cd /ev/network”和“unaem 0a”。
ASEC 认为,攻击中使用的工具是基于旧 PRG 团队创建的工具。每个攻击者都通过修改这些工具来创建自己的工具版本。
专家建议管理员:
- 使用难以猜测的强密码并定期更改;
- 定期将软件更新到最新版本,以防止利用已知漏洞的攻击;
- 对外部可访问的服务器使用防火墙来限制入侵者的访问。
还需要考虑到网络犯罪分子正在不断改进他们的方法和工具,因此管理员和信息安全专家应不断了解网络安全领域的最新趋势和发展。了解攻击者如何实施攻击将帮助您更好地反击并保护宝贵的数据和资源。

评论