The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.03.2018 21:42  Атака на уязвимые серверы с Cacti для майнинга криптовалюты

Компания Trend Micro сообщила о выявлении атаки на серверы с открытым доступом к web-интерфейсу необновлённой и некорректно настроенной системы мониторинга Cacti. В ходе атаки осуществляется запуск на сервере кода для майнинга криптовалюты Monero. В настоящее время на связанном с атакой кошельке уже накопилось около 320 XMR, что по текущему курсу соответствует 69 тысяч долларов США.

Утверждается, что для запуска кода используется уязвимость в плагине Network Weathermap, которая была устранена ещё в 2013 году (в отчёте Trend Micro упоминается CVE-2013-2618, но это XSS и, вероятно, атака производится через другую уязвимость, например через CVE-2013-1435, позволяющую выполнить shell-код через манипуляцию с параметрами snmp.php и rrd.php). Через эксплуатацию уязвимости на сервер загружается подставной скрипт conn.php (или cools.php) с бэкдором, который в дальнейшем используется для загрузки кода майнинга, похожего на код, который ранее применялся в ходе атаки на серверы Jenkins.

Вопросы вызывает то, что код загружаемого атакующими скрипта запускается с правами root и записывается в /etc/rc.local. Не уточняется каким образом осуществляется получение прав root, возможно атака производится только на определённые типовые серверы, в которых Cacti, запускается под пользователем root. В пользу этой гипотезы также говорит нетипичное для систем мониторинга наличие доступа к Cacti без аутентификации и использование достаточно специфичного внешнего плагина Network Weathermap.



  1. Главная ссылка к новости (https://blog.trendmicro.com/tr...)
  2. OpenNews: Атакующие заработали 3.3 млн долларов, организовав майнинг на уязвимых серверах Jenkins
  3. OpenNews: Релиз системы мониторинга Cacti 0.8.7h с устранением уязвимости
  4. OpenNews: Уязвимости в ядре Linux, TYPO3, Dovecot, ownCloud и Cacti
  5. OpenNews: Релиз системы мониторинга Cacti 0.8.8h с устранением уязвимостей
  6. OpenNews: Релиз системы мониторинга Cacti 1.0.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cacti, miner
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, pavlinux (ok), 21:52, 24/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    Все в плюсе - 69К у посанов, Trend Micro - реклама, промоушен для Сacti. ИЧСХ, за это никому ничего не будет.)
     
     
  • 2.2, Crazy Alex (ok), 21:53, 24/03/2018 [^] [ответить]    [к модератору]
  • +6 +/
    А кому и что за это должно быть? Разве что тупopылым сисадминам, держащим дыры шестилетней давности - и то если хоть какой-то реальный ущерб обнаружится.
     
     
  • 3.3, pavlinux (ok), 21:56, 24/03/2018 [^] [ответить]     [к модератору]
  • +5 +/
    Не знаю как у нас, а в США статьи Незаконное использование вычислительных ресу... весь текст скрыт [показать]
     
     
  • 4.5, rshadow (ok), 22:03, 24/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Это ты админов предлагаешь сажать, за незакрытые дыры старше 5 лет? гы гы
     
     
  • 5.7, pavlinux (ok), 22:08, 24/03/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Я даже могу пароль не ставить на рута - залезешь, тебе зды, а не мне Ну а ес... весь текст скрыт [показать]
     
     
  • 6.10, rshadow (ok), 22:17, 24/03/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Где вы берете эту траву? От простой шутейки, до атомного оружия и биомассы всего за пару минут догоняет.
     
     
  • 7.11, pavlinux (ok), 22:30, 24/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Алкашку Зинку посадили на 3 года за сп жженый огурец из Пятерочки и Мавроди за... весь текст скрыт [показать]
     
     
  • 8.16, Аноним (-), 00:39, 25/03/2018 [^] [ответить]    [к модератору]  
  • +/
    дело не в монетах, а в массово уязвимых серверах, как с memcached, например. скромные шаблонные админы обособленных царств слабо представляют эти интегралы.
     
     
  • 9.35, Аноним (-), 19:40, 25/03/2018 [^] [ответить]     [к модератору]  
  • +/
    вот смотрите - у вас дома лежат деньги, я подошел и болгаркой вырезал дверь - вы... весь текст скрыт [показать]
     
     
  • 10.38, Аноним (-), 20:47, 25/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    да я и не верю в свою неуязвимость как и в закон, могу быть не только ограбленны... весь текст скрыт [показать]
     
  • 10.60, YetAnotherOnanym (ok), 14:07, 26/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Вот смотрите, у Вас дома лежит дробовик, Вы должны держать его в сейфе и под сиг... весь текст скрыт [показать]
     
  • 6.42, _ (??), 09:26, 26/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Кто кому будет зды прописывать уточните после попадания под 239 УК РФ Ну или ... весь текст скрыт [показать]
     
  • 5.22, YetAnotherOnanym (ok), 13:04, 25/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Старую истину простота хуже воровства никто не отменял К тому же слишком мног... весь текст скрыт [показать]
     
     ....нить скрыта, показать (12)

  • 1.4, Аноним (-), 22:03, 24/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    То, что они атаковав чуть больше 200 серверов за пару месяцев заработали $70000 говорит о том, что атаковали целенаправленно какие-то платформы для майнинга. Или что-то типа Hive OS ломают.
     
     
  • 2.8, Аноним (-), 22:14, 24/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Сейчас тьма разных стартапов, впаривающих облачные сервисы и собранные на коленк... весь текст скрыт [показать]
     
  • 1.6, pavlinux (ok), 22:07, 24/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Прикроют нахрен всю эту лавочку, если не будет гос. регулятора.
    Никакой финансовой системе не нужны такие внезапные миллионеры.
     
     
  • 2.17, Аноним (-), 01:54, 25/03/2018 [^] [ответить]     [к модератору]  
  • –5 +/
    Не нужен твой госрегулятор как и все гос , ни здесь, ни в США нигде в мире Люб... весь текст скрыт [показать]
     
     
  • 3.24, pavlinux (ok), 13:09, 25/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Не нужен твой госрегулятор как и все "гос", ни здесь, ни в США нигде в мире.

    А вот не нравиться мне твой комент, и вместо минуса на форуме, я тебя просто прибью.
    Ощутил отсутствие регулятора? :)

     
     
  • 4.29, Аноним (-), 16:09, 25/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Как будто присутствие существование регулятора что-то гарантирует Инфантильна... весь текст скрыт [показать]
     
     
  • 5.41, Аноним (-), 06:17, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Не гарантирует что не прибьют, но сильно уменьшает вероятность.
    Ты можешь радоваться тому что когда идешь по улице тебя не пристрелят запросто так, потому что могут.
     
     
  • 6.54, Аноним (-), 13:29, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Вообще не уменьшает, т к ди6илам все равно побоку ваши законы, а вменяемые и бе... весь текст скрыт [показать]
     
     
  • 7.71, _ (??), 20:44, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Это так, да Но их время от времени прореживают Оглядываясь вокруг Да 8-о... весь текст скрыт [показать]
     
  • 4.63, YetAnotherOnanym (ok), 14:17, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > А вот не нравиться мне твой комент, и вместо минуса на форуме,
    > я тебя просто прибью.
    > Ощутил отсутствие регулятора? :)

    Бесполезно, коллега. Мечта быть лохом посреди анархии не лечится.

     
     
  • 5.72, _ (??), 20:47, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Оно не анархия. Оно - "оножедети"(С)
    В анархии в основном были не лохи, а хорошо вооружённые цыники ;) ... да и то - только в моменты когда власть была слабой. Потому как чирьевато ...
     
  • 3.26, Аноним (-), 13:51, 25/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Да точно такие же паразиты От Шувалова в масштабах страны тоже не особо большой... весь текст скрыт [показать]
     
     
  • 4.30, Аноним (-), 16:13, 25/03/2018 [^] [ответить]     [к модератору]  
  • +/
    От одной яровой сколько проблем, от шувалова не меньше От одного майнера нет во... весь текст скрыт [показать]
     
     
  • 5.44, Аноним (-), 10:40, 26/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ты серьёзно думаешь, что криптомиллионеры не рядовые майнеры-лохи делают деньг... весь текст скрыт [показать]
     
     
  • 6.55, Аноним (-), 13:33, 26/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Я не говорил ничего что я думаю насчет того делают ли майнеры или криптомиллионе... весь текст скрыт [показать]
     
     
  • 7.74, _ (??), 20:54, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Пока - Если у тебя есть власть - ты хочешь денег Если у тебя есть деньги ... весь текст скрыт [показать]
     
     
  • 8.77, Аноним (-), 21:29, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Еще один пенсионер с пенсионерскими истинами подтянулся. Вы, такие, в "новом свете" не нужны.
     
  • 6.73, _ (??), 20:50, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >Суть остаётся той же: несправедливое перераспределение материальных благ.

    Оно никогда другим и не было :( И боюсь - никогда и не будет.

     
     ....нить скрыта, показать (15)

  • 1.12, Аноним (-), 22:31, 24/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    какие благородные нынче хакеры пошли
     
     
  • 2.15, Аноним (-), 00:23, 25/03/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    Уже не первый прямой случай пользы криптовалют обществу - атаки теперь заканчиваются расходом вычислительных мощностей. Слив данных, продажа серверов для незаконных дел - теперь в прошлом.
     
     
  • 3.18, Аноним (-), 03:00, 25/03/2018 [^] [ответить]     [к модератору]  
  • +/
    какой там сервер, если 5 лет без обнов, скорее завалящее го-но, которого админ ... весь текст скрыт [показать]
     
  • 1.21, lone_wolf (ok), 12:23, 25/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А с какого редактора сриншот?
     
  • 1.25, Аноним (-), 13:45, 25/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Интересно, в каком всё-таки ПТУ учат писать такое code ps aux 124 grep PRO... весь текст скрыт [показать]
     
     
  • 2.27, lone_wolf (ok), 15:03, 25/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Хорошо, напишите как правильно
     
     
  • 3.28, Andrey Mitrofanov (?), 15:11, 25/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Хорошо, напишите как правильно

    [CODE] pgrep $PROGNAME -fc [/CODE]

     
     
  • 4.36, Crazy Alex (ok), 19:50, 25/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Это частный случай, который надо знать А указанное выше - собирается из совсем ... весь текст скрыт [показать]
     
     
  • 5.46, Аноним (-), 10:49, 26/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Собирается, да Только в общем случае не работает Ты нагрепаешь кучу всего по ч... весь текст скрыт [показать]
     
  • 3.31, Аноним84701 (ok), 16:29, 25/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Хорошо, напишите как правильно

    Eсли религиозные убеждения не позволяют использовать p(grep|kill), то:
    ps foo | grep -c "ba[r]"

     
     
  • 4.37, пох (?), 20:20, 25/03/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    > ps foo | grep -c "ba[r]"

    в оригинальном коде автор позаботился не посчитать сам процесс grep.
    Вы в порыве улучшизма - сломали работающую программу. Как обычно, с этими улучшателями...

     
     
  • 5.39, Аноним84701 (ok), 21:55, 25/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >> ps foo | grep -c "ba[r]"
    > сломали работающую программу. Как обычно, с этими улучшателями...

    Намек на еgrep или просто потому что гладиолус?

     
  • 5.47, Аноним (-), 10:57, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Открой ман, что ли ps без опций не выводит аргументы, поэтому grep в список не ... весь текст скрыт [показать]
     
     
  • 6.50, ыы (?), 13:04, 26/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    gt оверквотинг удален ps foo ошибка unknown user-defined format specifier o... весь текст скрыт [показать]
     
     
  • 7.58, Andrey Mitrofanov (?), 13:49, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > $ps foo
    > ошибка: unknown user-defined format specifier "o"
    > Для дополнительных подробностей смотрите ps(1).

    http://www.catb.org/jargon/html/F/foo.html

     
  • 6.70, пох (?), 20:16, 26/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    и то что мы ищем тоже foo bar - общепринятые плейсхолдеры, ваш к о можно, толь... весь текст скрыт [показать]
     
     
  • 7.79, Аноним (-), 00:06, 27/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Чего тебе ps -e не покажет?
     
  • 2.34, Мегаадмин (?), 19:31, 25/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Я так пишу. Додумался сам. Какие претензии?
     
     
  • 3.48, Аноним (-), 10:59, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Я так пишу. Додумался сам. Какие претензии?

    См. #46.

     
     
  • 4.49, ыы (?), 13:01, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    там болтовня и вообще много общих фраз.
     
     
  • 5.64, Аноним (-), 14:24, 26/03/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    Ок, разберём конкретно, по пунктам 1 Команда ps предназначена для вывода инфор... весь текст скрыт [показать]
     
     
  • 6.75, ыы (?), 21:02, 26/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Мне как-то не приходило в голову что DSV - это человекочитабельный формат не пре... весь текст скрыт [показать]
     
     
  • 7.78, Аноним (-), 23:25, 26/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Это что-то новенькое. Ну излагай, не томи. В POSIX ничего про DSV нет, в мане от гнутого ps тоже не вижу.
     
  • 7.81, Аноним (-), 15:24, 27/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Или, может, ты просто не знаешь, что такое DSV, и обозвал этими буквами обычный вывод ps? В таком случае ты глубоко заблуждаешься: с DSV он не имеет ничего общего.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor