The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Атака по майнингу криптовалюты на незащищённых серверах Post..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от opennews (??) on 16-Мрт-18, 10:45 
Исследователи из компании Imperva, поддерживающей honeypot с незащищёнными и уязвимыми СУБД для изучения атак на них, сообщили (https://www.imperva.com/blog/2018/03/deep-dive-database-atta.../) о выявлении вредоносной активности, нацеленной на организацию скрытого майнинга криптовалюты через СУБД PostgreSQL. Атака интересна тем, что вредоносный код для майнинга загружается с использованием методов стеганографии (https://ru.wikipedia.org/wiki/%D0%A1%D1%...) и спрятан в PNG-изображении (https://www.imperva.com/blog/wp-content/uploads/2018/03/Post...).

Для выполнения вредоносного кода в PostgreSQL добавлялась написанная на языке Си (https://www.postgresql.org/docs/9.2/static/xfunc-c.html) UDF-функция (User-defined function) sys_eval (https://github.com/sqlmapproject/udfhack/tree/master/linux/l...), позволяющая выполнить в системе любой код (передаёт входные параметры в вызовы system или popen). Для добавления (https://github.com/nixawk/pentest-wiki/blob/master/2.Vulnera...) функции в системный каталог  PostgreSQL скомпилированный код передавался в виде Large Object (https://www.postgresql.org/docs/9.4/static/lo-funcs.html) с его дальнейшим экспортом в файл при помощи вызова lo_export.


В ходе атаке данная UDF-функция была использована для выполнения команд в системе при помощи вызова "SELECT sys_eval('код')", используя PostgreSQL в качестве бэкдора или SQL-Shell. После получения контроля за сервером  с PostgreSQL и установки UDF-функции sys_eval атакующие загружали картинку с публичного хостинга изображений imagehousing.com, извлекали скрытый в картинке код для майнинга криптовалюты Monero (XMR) и запускали его. В настоящее время, в используемом в ходе атаки кошельке накопилось 312.5 XMR, что по сегодняшнему курсу соответствует 65 тысячам долларов США (неделю назад было $117 тысяч).

Сообщается, что для получения доступа к СУБД осуществлялся подбор пароля (brute force) для учётной записи postgres, создаваемой по умолчанию. Судя по всему, атака носит целевой характер и направлена на поражение какого-то облачного провайдера или оператора хостинга, предоставляющего доступ к PostgreSQL c применением  некорректных с точки зрения безопасности настроек. Например, поисковая система Shodan находит (https://www.shodan.io/report/KKSETG6u) более 709 тысяч PostgreSQL-серверов с открытым сетевым портом 5432, из которых 80 тысяч предоставляются Amazon AWS. Так же возможно, что  атака используется для оргаизации скрытого майнинга на уже взломанных серверах, поражённых каким-то иным способом (например, через эксплуатацию уязвимости в другом сервисе или web-приложении с эскалацией привилегий) и использующих PostgreSQL как точку для получения скрытого доступа извне.


Вероятность атаки на обычные серверы минимальна, так как по умолчанию доступ к СУБД PostgreSQL открыт только с локального хоста, а библиотеки с реализацией пользовательских функций на языке Си необходимо загружать в системную директорию или необходимо изменение настроек PostgreSQL (т.е. для атаки нужны полномочия администратора СУБД). Также не исключено, что атака может производиться и через серверы MySQL, так как аналогичная вредоносная пользовательская функция на языке Си доступна (https://github.com/sqlmapproject/udfhack/tree/master/linux/l...) и для данной СУБД.


URL: https://www.imperva.com/blog/2018/03/deep-dive-database-atta.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48269

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +34 +/
Сообщение от Аноним (??) on 16-Мрт-18, 10:45 
включаю ютуб, а там майнер. Включаю постгрес, а там тоже майнер. Уже боюсь утюг включать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +14 +/
Сообщение от A.Stahl (ok) on 16-Мрт-18, 10:47 
Ага, а как включишь майнер в попытке намайнить хоть что-то, так он тебе тупо греет процессор и толку 0.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +17 +/
Сообщение от Аноним (??) on 16-Мрт-18, 10:51 
вся суть современного IT
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

36. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +2 +/
Сообщение от rvs2016 (ok) on 16-Мрт-18, 19:42 
А вот утюг как раз таки греется честно!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

37. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от PukkuTukkuTaBu on 16-Мрт-18, 22:22 
Просто жрать электричество и честно греть сейчас не модно.
Нагревание сейчас побочный продукт разнообразной фигни
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Аноним (??) on 17-Мрт-18, 00:09 
Да, надо срочно делать процы для майнинга, которые бы переносили нагрев до 200 градусов! Жена гладит, а ты - деньги зарабатываешь! :)
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

43. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Bicycle (ok) on 17-Мрт-18, 01:11 
Отличная идея:
1. Делаем смарт-утюг (ASIC) с Wi-Fi;
2. При первом включении утюг поднимает свой хотспот, покупатель к нему подключается и настраивает под свои нужды (что именно хотим майнить, выбираем майнинговый пул и т.п.);
4. Напомним покупателю на всякий случай, чтобы он не был дураком и чтобы он не забыл перевести утюг из режима точки доступа в режим клиента, предварительно указав точку и пароль к ней;
3. Как только утюг включается в сеть - он начинает майнить и вырабатывать тепло в качестве побочного эффекта. Жена гладит, а электричество окупается, ещё и сложность сети поддерживается;
4. ??????
5. PROFIT! Все довольны.

Само собой, никто таким бредом заниматься не будет. Верно?... Погодите... Ох б~~... https://goo.gl/jAoAxR

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

6. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от EuPhobos (ok) on 16-Мрт-18, 10:58 
Ты ещё про спикеры и наушники забыл, а то смотри, через звук майнер залетит)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Аноним (??) on 16-Мрт-18, 12:33 
Майнить будет подсознание :)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от An (??) on 16-Мрт-18, 11:06 
А с учётом предыдущей темы скоро в и утюгах, и  в холодильниках будет.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +6 +/
Сообщение от Аноним (??) on 16-Мрт-18, 11:17 
Он от этого только нагреется... А это основная функция утюга!11
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +2 +/
Сообщение от Аноним (??) on 16-Мрт-18, 13:39 
> Он от этого только нагреется... А это основная функция утюга!11

Утюг с майнером? Да это прекрасная идея для стартапа!

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

31. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Andrey Mitrofanov on 16-Мрт-18, 14:13 
>> Он от этого только нагреется... А это основная функция утюга!11
> Утюг с майнером? Да это прекрасная идея для стартапа!

UR SLOW!1  https://www.ixbt.com/news/2018/03/14/qarnot-qc-1.html

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

41. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Аноним (??) on 17-Мрт-18, 00:31 
Лучше водонагреватель. Вполне реально ж сделать, даже температура нужная.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

27. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от amonymous on 16-Мрт-18, 13:10 
Там как раз гипервизор для встраиваемых устройств разрабатывают. Чтобы можно было майнить в каждом холодильнике.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +1 +/
Сообщение от Аноним (??) on 16-Мрт-18, 10:53 
udf функции есть во многих СУБД
т.е. не исключено, что и в других такое повторить можно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +6 +/
Сообщение от Аноним (??) on 16-Мрт-18, 10:56 
Офигенная стеганография: dd skip=...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  –7 +/
Сообщение от YetAnotherOnanym (ok) on 16-Мрт-18, 11:03 
Вот это я понимаю, эксплойт, не то что какой-то там скрипт на бидоне.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Andrey Mitrofanov on 16-Мрт-18, 11:27 
> Вот это я понимаю, эксплойт, не то что какой-то там скрипт на
> бидоне.

Ты всйо перепутал!

В теме не "ксплойт", а пейлоад. Ксплойтят в новости выше _уязвимые_ ханипоты.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Сергей (??) on 16-Мрт-18, 11:18 
Майнинг здесь просто использование некорректных настройках самого скл, ломается ведь учетная запись posgres, после чего доступно выполнение любого кода с правами этой учетной записи, а там можно не только майнить...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  –3 +/
Сообщение от лютый жабист__ on 16-Мрт-18, 11:22 
Что-то непонятно, на CPU уже давно не майнят, а редиски килобаксы монерой рубят....  

Гуглим monero benchmarks и monero mining calculator.

Выходит, что ксеон 8 ядерный выдаёт 24килохэшей, а приносит это 612 баксов в месяц. Учитывая, что preemtible instance у того же гугля стоит НАМНОГО дешевле, зачем заморачиваться со взломами?

Майнеры опеннета, ау?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от лютый жабист__ on 16-Мрт-18, 11:25 
Всё, сам понял, 8X XEON PHI 7220 это не проц
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от пох on 16-Мрт-18, 13:36 
> Что-то непонятно, на CPU уже давно не майнят, а редиски килобаксы монерой рубят....  

такая же херня :-(
причем запускал я ровно то, что (если верить этим исследователям, а я б и ломанного гроша за них не дал) запускают троянцы (не стал только хакать на предмет отъема несчастных 5% у автора) - получил такое, что проще тот сервер сдать во вторчермет, за корпус больше дадут, он у него дубовый.

> Выходит, что ксеон 8 ядерный выдаёт 24килохэшей, а приносит это 612 баксов в месяц.

чего-то ты не то гуглил - или оно устарело  лет на пять.

у меня 24ядра (правда, не хватило кэша чтоб использовать все, но 14 поднялись), и результат - просто вот курам на смех.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +3 +/
Сообщение от ыы on 16-Мрт-18, 11:33 
не смогли майнер на чистом sql написать...вот и пришлось извращатся...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от bvs23bkv33 email on 16-Мрт-18, 12:56 
на Pro*C
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +2 +/
Сообщение от Аноним (??) on 16-Мрт-18, 11:43 
такое ощущение что огромная куча народа помешалась на майнинге.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +6 +/
Сообщение от Аноним (??) on 16-Мрт-18, 11:50 
Только впечатление? Я в этом уверен. Уже года два как.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  –1 +/
Сообщение от 0x501D on 16-Мрт-18, 11:56 
Красота то какая!!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  –2 +/
Сообщение от srgaz email on 16-Мрт-18, 11:59 
Как я понимаю локально все это происходит! Ну если так зачем столько гемора?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  –1 +/
Сообщение от Нанобот (ok) on 16-Мрт-18, 12:12 
хакеры используют сервера postgres для майнинга криптовалют, но админы postgres-серверов не заметили разницы, поскольку postgres как жрал 100% cpu до заражения, так и продолжил жрать 100% cpu после заражения
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от анонимус_б6_выпуск_3 on 16-Мрт-18, 12:16 
но при этом прекратил работать на хозяина, а стал майнить для кацкеров
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +2 +/
Сообщение от хозяин on 16-Мрт-18, 13:37 
> но при этом прекратил работать на хозяина, а стал майнить для кацкеров

да я, честно говоря, и раньше подозревал, что не он на меня, а я на него работаю :-(

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Аноним (??) on 16-Мрт-18, 14:27 
Поменяй ник на "Микробот", ты ведь мелкая мягкая манька, торговать сюда пришла
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +2 +/
Сообщение от Нанобот (ok) on 16-Мрт-18, 12:16 
нужно было сразу делать хранимую процедуру sys_mine и майнить sql-запросами вида `select coin from sys_mine('XMR')`  #оптимизация
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Coocos email on 16-Мрт-18, 12:28 
Только amd64? На S390X не сработает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +1 +/
Сообщение от Аноним (??) on 16-Мрт-18, 12:37 
Наверное, если скомпилить эту функцию в код S390X, то сработает.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

33. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +1 +/
Сообщение от Аноним (??) on 16-Мрт-18, 16:58 
О, боже мой, такая печаль, придётся не трогать все 3½ S390X!
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Аноним (??) on 16-Мрт-18, 17:28 
Картинго загружаеется
http://img1.imagehousing.com/0/art-981754.png
внутри elf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +1 +/
Сообщение от pavlinux (ok) on 16-Мрт-18, 18:58 
майнеры - это полезные для безопасности существа, все фичи спалили! Выявить - как двабайтаобасфальт :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Аноним (??) on 16-Мрт-18, 22:26 
Новость только то, что в открытую дверь зашли только майнеры
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Аноним (??) on 16-Мрт-18, 22:30 
В чем новость? зашли и поэксплуатировали вычислительный ресурс сервера. Так сервер для это и предназначен.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Аноним (??) on 17-Мрт-18, 01:10 
> аналогичная вредоносная UDF-функция на языке Си доступна

Распространение ссылок на вредоносное ПО...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Атака по майнингу криптовалюты на незащищённых серверах Post..."  +/
Сообщение от Аноним (??) on 17-Мрт-18, 08:43 
>> аналогичная вредоносная UDF-функция на языке Си доступна
> Распространение ссылок на вредоносное ПО...

Сенсация! В Windows встроено вредоносное ПО - в меню Пуск можно выполнить cmd и любую программу. UDF-функция по ссылке ничем по своей вредоносности от этого не отличается, просто позволяет запустить любую команду, как и shell, как и функция system из libc.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor