内容简介:一种新的 Linux 系统后门已经开始肆虐,并主要运行在位于中国的 Linux 服务器上。 据 ZDNet 报导,该恶意软件名为 SpeakUp,三周前由 Check Point 安全研究人员发现。研究人员表示黑客利用 PHP 框架 ThinkPHP 的漏...
一种新的 Linux 系统后门已经开始肆虐,并主要运行在位于中国的 Linux 服务器上。
据 ZDNet 报导,该恶意软件名为 SpeakUp,三周前由 Check Point 安全研究人员发现。研究人员表示黑客利用 PHP 框架 ThinkPHP 的漏洞 CVE-2018-20062 进行攻击,一旦 SpeakUp 入侵易受攻击的系统,那么黑客就可以使用它来修改本地 cron 应用以获得启动持久性,并运行 shell 命令,执行从远程命令与控制服务器(C&C)下载的文件,以及更新或卸载自身。
此外 SpeakUp 还附带了一个内置的 Python 脚本,恶意软件通过该脚本在本地网络中横向传播。脚本可以扫描本地网络以查找开放端口,使用预定义的用户名和密码列表对附近的系统进行暴力破解,并使用以下七个漏洞中的一个来接管未打补丁的系统:
CVE-2012-0874: JBoss 企业应用程序平台多安全绕过漏洞
CVE-2010-1871: JBoss Seam Framework 远程代码执行
JBoss AS 3/4/5/6: 远程命令执行
CVE-2017-10271: Oracle WebLogic wls-wsat 组件反序列化 RCE
CVE-2018-2894: Oracle Fusion Middleware 的 Oracle WebLogic Server 组件中的漏洞
Hadoop YARN ResourceManager - Command Execution
CVE-2016-3088: Apache ActiveMQ 文件服务器文件上载远程执行代码漏洞
Check Point 表示 SpeakUp 可以在六种不同的 Linux 发行版甚至 macOS 系统上运行,其背后的黑客团队目前主要使用该恶意软件在受感染的服务器上部署 Monero 加密货币矿工,并且目前已经获得了大约 107 枚 Monero 币,大约是 4500 美元。
目前感染的地图显示,SpeakUp 受害者主要集中在亚洲和南美洲,其中以中国为主。
研究人员表示,就已经掌握的信息来看,SpeakUp 作者目前仅使用 ThinkPHP 的漏洞 CVE-2018-20062 进行利用,该漏洞允许远程攻击者通过精心使用 filter 参数来执行任意 PHP 代码,但其实他们可以轻松切换到任何其它漏洞,将 SpeakUp 后门扩展到更广泛的目标。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
网站运维技术与实践
饶琛琳 / 电子工业出版社 / 2014-3 / 69.00元
网站运维工作,一向以内容繁杂、覆盖面广著称。《网站运维技术与实践》选取日常工作涉及的监测调优、日志分析、集群规划、自动化部署、存储和数据库等方面,力图深入阐述各项工作的技术要点及协议原理,并介绍相关开源产品的实践经验。在技术之外,作者也分享了一些关于高效工作及个人成长方面的心得。 《网站运维技术与实践》适合Linux 系统管理员、中大型网站运维工程师及技术负责人、DevOps 爱好者阅读。同......一起来看看 《网站运维技术与实践》 这本书的介绍吧!
