黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

栏目: 数据库 · Mysql · 发布时间: 5年前

Guardicore Labs 的安全研究人员发布了 一份报告 ,该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动,代号“Nansh0u”,且这一攻击源头是中国黑客。

报告称,包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击,一旦受到攻击,目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。

这并非典型的加密攻击,它使用 APT (Advanced Persistent Threat,高级持续性威胁,本质是针对性攻击)中经常出现的技术,例如假证书和特权升级漏洞。

该攻击活动于 4 月初被首次发现,但可以追溯至 2 月 26 日,每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载,这期间每周至少会有一个新的恶意负载被创建,受感染的计算机数量在一个月内就已翻倍。

黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

在使用管理权限成功登录身份验证后,攻击者在受感染系统上执行一系列 MS-SQL 命令,以从远程文件服务器下载恶意负载,并以 SYSTEM 权限运行它。

在后台,有效负载利用已知的权限提升漏洞(CVE-2014-4113)来获取受感染系统的 SYSTEM 权限。

然后,有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。

黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

研究人员还发布了一份完整的 IoC (危害指标)列表和一个免费的基于 PowerShell 的脚本,Windows 管理员可以使用它来检查他们的系统是否被感染。

由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合,因此,强烈建议管理员为账户设置一个复杂密码。

调查报告完整版: https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

最高人民法院《关于行政诉讼证据若干问题的规定》释义与适用

最高人民法院《关于行政诉讼证据若干问题的规定》释义与适用

李国光 / 人民法院出版社 / 2002-9 / 30.0

为进一步深入贯彻实施《中华人民共和国行政诉讼法》,最高人民法院发布了《关于行政诉讼证据若干问题的规定》。本书即是对《行政证据规定》作出的充分的阐释。《行政证据规定》是我国第一部关于行政诉讼证据问题系统的司法解释,对我国行政审判的发展和行政诉讼制度的完善必将产生重要而深远的影响。本书对这一《行政证据规定》进行阐述,是为了让广大读者更具体深入的了解这一重要的规定。 本书均将《最高人民法院......一起来看看 《最高人民法院《关于行政诉讼证据若干问题的规定》释义与适用》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

URL 编码/解码
URL 编码/解码

URL 编码/解码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具