标签: 服务器

黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

Guardicore Labs 的安全研究人员发布了一份报告,该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动,代号“Nanshou”,且这一攻击源头是中国黑客。 报告称,包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击,一旦受到攻击,目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。 这并非典型的加密攻击,它使用 APT (Advanced Persistent Threat,高级持续性威胁,本质是针对性攻击)中经常出现的技术,例如假证书和特权升级漏洞。 该攻击活动于 4 月初被首次发现,但可以追溯至 2 月 26 日,每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载,这期间每周至少会有一个新的恶意负载被创建,受感染的计算机数量在一个月内就已翻倍。 在使用管理权限成功登录身份验证后,攻击者在受感染系统上执行一系列 MS-SQL 命令,以从远程文件服务器下载恶意负载,并以 SYSTEM 权限运行它。 在后台,有效负载利用已知的权限提升漏洞(CVE-2014-4113)来获取受感染系统的 SYSTEM 权限。 然后,有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。 研究人员还发布了一份完整的 IoC(危害指标)列表和一个免费的基于 PowerShell 的脚本,Windows 管理员可以使用它来检查他们的系统是否被感染。 由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合,因此,强烈建议管理员为账户设置一个复杂密码。 调查报告完整版:https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/   (稿源:开源中国,封面源自网络。)

VFEmail 遭黑客攻击 美国区所有数据被删除且无法恢复

援引外媒Ars Technica报道,VFEmail所有者Rick Romero近期发现有黑客试图系统性破坏公司的服务硬盘,其中包括备份和冗余。根据该电子邮件服务提供商在官网上发布的通告,其美国服务器上的“所有数据”已经完全消失,而且似乎无法恢复。Romero在推文中表示:“是的,@VFEmail已经彻底消失了。我从未想过有人会如此关心我心爱的产品,以至于他们想要彻底摧毁它。” Romero表示攻击者使用“aktv@94.155.49.9”的IP地址,应该是使用虚拟机和多种访问方式来进行攻击的,包括双因素身份认证在内没有一种现成的保护方法能够让VFEmail免受攻击。目前攻击者的动机不明。攻击者并没有勒索赎金。     稿源:cnBeta,封面源自网络;

NASA 服务器被黑客攻击 员工信息曝光

美国国家航空航天局(NASA)已确认旗下一台服务器在10月被黑客攻击,黑客从其中盗取了一些员工信息,包括社会安全号码等等。在12月18日发布的通知中,美国国家航空航天局表示,它目前正在通知那些可能因此受到损害的员工。调查已经开始,NASA表示社会安全号码和其他个人身份信息存储在被黑的服务器上。 NASA表示,在发现这些事件后,NASA网络安全人员立即采取行动保护服务器及其中包含的数据。美国宇航局及其联邦网络安全合作伙伴正在继续检查服务器,以确定潜在数据泄漏的范围,并识别可能受影响的个人。NASA表示,调查需要时间,但强调它现在已成为NASA目前最重要的优先事项。 该机构声称没有任何迹象表明NASA的各项任务受到了黑客影响,但现在它已经传达给所有员工,让他们知道某些信息已经暴露给黑客。NASA表示,将为所有员工提供额外服务,包括身份保护服务。 但是NASA没有详细说明服务器是如何被破坏的,以及事件背后的黑客组织名称。   稿源:cnBeta,封面源自网络;

安全公司发布关于 Energetic Bear APT 分析报告:针对欧美国家能源和工业部门

近日,卡巴斯基分析了受 Energetic Bear APT 损害的服务,并在某种程度上确定该组织是为了利益或接受其外部客户的订单而运作的。卡巴斯基实验室 ICS CERT 报告中提供了有关已识别的服务器的信息,这些服务器已被群体感染和使用。此外,该报告还包括对 2016 年和 2017 年初 Energetic Bear 组织袭击几家网络服务器的分析结果。 至 2010 年以来, Energetic Bear  一直活跃。该组织倾向于攻击不同的公司,主要关注能源和工业部门。根据统计,Energetic Bear 袭击的公司在全球范围内集中度比较明显,一般来说主要分布在欧洲和美国。在 2016-2017 年,土耳其公司遭受 Energetic Bear 袭击的数量也大幅增加。 Energetic Bear 组织的主要策略包括发送带有恶意文件的钓鱼邮件以及感染各种服务器。Energetic Bear 使用一些受感染的服务器作为辅助用途 -— 比如托管工具和日志。其他一些服务器则被故意受到感染,以便在水坑攻击中使用它们以达到该组织的主要目标。 受损服务器的分析结果和攻击者在这些服务器上的活动如下: –   除极少数情况外,该组织可以使用公共可用的实用程序进行攻击,使攻击归因的任务无需任何额外的群组“标记”就变得非常困难; –  潜在地,当攻击者想要建立一个立足点以发展针对目标设施的进一步攻击时,互联网上任何易受攻击的服务器都会引起攻击者的兴趣。 –  在观察到的大多数情况下,该组织通过执行与搜索漏洞有关的任务来获得各种主机持久性以及窃取认证数据。 –  受害者的多样性可能表明攻击者利益的多样性。 –  在某种程度上可以肯定地说,该组织为利益服务或从其外部的客户处获得订单,通过执行初始数据收集、窃取认证数据获得适合攻击资源的持久性发展。 值得注意的是, Energetic Bear 针对美国组织的近期活动在 US-CERT 咨询中进行了讨论,该咨询将其与俄罗斯政府联系起来。 完整分析报告: 《Energetic Bear/Crouching Yeti: attacks on servers》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Etcd REST API 未授权访问漏洞暴露 750MB 密码和密钥

近日据外媒报道,安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了 etcd 组件的服务器暴露在互联网上,利用一些简单脚本即可从中获取登录凭证,如 cms_admin、mysql_root、 postgres 之类。目前 Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据,其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。 etcd 是一个分布式密钥值存储和为存储跨机器群集的数据提供可靠方法的数据库,通常用于在各种服务器和应用程序之间存储和分发密码和配置设置。etcd 实现了一个可以查询的编程接口,并且默认情况下不需要身份验证就可返回管理登录凭证。 虽然 Collazo 并没有测试这些凭证,但其中一些被推测是有效的,有可能会被攻击者用来侵入系统。此外,根据 Collazo 的说法,任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。 为了保证 etcd 安装安全,Collazo 建议启用身份验证并在不需要时使其脱机,或者设置防火墙,以避免未经授权的人员查询 etcd 服务器。 SeeBug 漏洞库: Etcd REST API 未授权访问漏洞 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

恶意活动针对 Windows、Redis 及 Apache 服务器安装加密货币矿工

外媒 3 月 12 日消息,来自 ISC SANS 组织和安全公司 Imperva 的研究人员发现了两个针对 Windows Server、Redis 以及 Apache Solr 服务器的恶意活动 — 攻击者试图针对这些未打补丁的服务器安装加密货币矿工。 第一个活动被称为 RedisWannaMine,主要针对的目标对象是 Redis 和 Windows Server 服务器。研究人员发现攻击者通过大规模的网络扫描来寻找运行过时 Redis 版本的系统,以触发 CVE-2017-9805 漏洞。 研究人员观察到,RedisWannaMine 通过执行脚本来下载一个公共可用的工具 masscan ,在将其存储到 Github 存储库后,编译并安装它。一旦获得访问主机的权限,攻击者将放弃 ReddisWannaMine 恶意软件作为第一阶段 playload,并安装第二阶段的加密货币矿工。 RedisWannaMine 通过 EternalBlue (永恒之蓝)进行传播,并且具有类似蠕虫的行为, 但它在逃避技术和功能方面更为复杂:RedisWannaMine 结合先进的攻击手段来增加感染率,从而获取更大的利益。除此之外,ReddisWannaMine 活动也显示了其自传播蠕虫的经典行为模式。 第二次采矿活动是通过利用 CVE-2017-12629 漏洞攻击 Apache Solr 服务器。根据 ISC SANS 发布的分析报告,在 2 月 28 日至 3 月 8 日这段时间内,这场活动共感染了 1777 个服务器, 其中有 1416个 是 Apache Solr。 研究人员认为这两项活动都只是冰山一角,未来还会出现越来越多针对加密货币行业的攻击事件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

开源分布式内存缓存系统 Memcrashed 被利用发起 DDoS 放大攻击,峰值竟达 500 Gbps

外媒 2 月 27 消息,Cloudflare 和 Arbor Networks 公司于周二警告称,恶意攻击者正在滥用 memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。 memcached 是一个高性能的分布式内存对象缓存系统,用于动态 Web 应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。此外,客户端可以通过端口 11211 上的 TCP 或 UDP 与 memcached 服务器进行通信。 在此次(DDoS)放大行动中,攻击者使用与受害者 IP 相匹配的假冒 IP 地址,将请求发送到端口 11211 上的目标服务器。虽然攻击者发送到服务器的请求仅仅只有几个字节,但其响应却比正常的要高出数万倍,这种情况可能会带来严重的攻击行动。 Cloudflare 认为攻击者显然是在滥用已启用 UDP 的无保护的 memcached 服务器。这些服务器来自世界各地,但主要是在北美和欧洲范围内,目前大部分服务器由由 OVH,DigitalOcean 和 Sakura 托管。 目前 Cloudflare 观察到的最大的 memcached DDoS 攻击峰值为 260 Gbps,但 Arbor Networks 称其发现的攻击峰值已达到 500 Gbps,甚至可能还会更高。Arbor Networks 指出,这些攻击中使用的查询类型也可以针对 TCP 端口 11211,但由于 TCP 查询不能真实被欺骗,因此该协议被滥用的可能性并不高。 根据 CDN (内容交付网络)监控的攻击数据来看,目前大约有 5700个与 memcached 服务器相关的 IP 地址,但专家预计未来会发现更大的攻击,因为 Shodan 显示了将近 88,000 个开放式服务器。目前大部分暴露的系统是在美国,其次是中国和法国。 Cloudflare 建议在非必要的情况下禁用 UDP 支持,并提醒系统管理员确保他们的服务器不能从 Web 访问。另外,互联网服务提供商(ISP)也可以通过修复易受攻击的协议和 防止 IP 欺骗来帮助减少这种或者其他类型的放大攻击。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“Zealot”行动揭秘:黑客组织利用 NSA 漏洞入侵 Windows 、Linux 服务器挖掘门罗币

据外媒 12 月 16 日报道,美国网络安全公司 F5 Networks  发现了一项利用 NSA 漏洞大量入侵 Linux 和 Windows 服务器同时植入恶意软件 “ Zealot ”来挖掘 Monero 加密货币的攻击行动。 黑客组织同时利用 NSA 漏洞入侵目标服务器 根据 F5 Networks 安全研究人员的说法,黑客组织使用两个漏洞扫描互联网上的特定服务器: 一个是用于 Apache Struts(CVE-2017-5638 — RCE 远程代码执行漏洞),另一个则是用于DotNetNuke ASP.NET CMS ( CVE-2017-9822 — DotNetNuke 任意代码执行漏洞)。  其中 Apache Struts (CVE-2017-5638)漏洞也是今年早些时候黑客组织利用来攻击美国金融巨头 Equifax  的同一个漏洞。 此外,亦有其他犯罪集团在今年 4 月份使用同一漏洞并将勒索软件安装在了使用 Struts  2 框架的服务器上,初步统计当时他们从中获利超过 10万美元。 在研究人员表示,若目标是 Windows 服务器,攻击者将会在服务器上部署 EternalBlue (永恒之蓝)和 EternalSynergy(永恒协作),这是今年早些时候由 Shadow Broker  “ 影子经纪人 ” 泄露的两个 NSA 漏洞,可利用于在用户本地网络中横向扩散、感染更多系统。随后,黑客组织使用 PowerShell 下载并安装最后一阶段的恶意软件,该恶意软件在攻击行动中充当 Monero 矿工的角色。而在 Linux 上,黑客组织则通过从 EmpireProject 后期开发框架中获取的 Python 脚本感染系统,并且也会安装同一个 Monero 矿工。 挖掘 Monero(门罗币)至少赚了 8500 美元 从收集到的 Monero 地址来看,黑客组织至少从此次攻击中获得了8500 美元。考虑到黑客组织很可能还使用了其他 Monero 钱包,这意味着他们获利金额会更高。有趣的是通过对恶意代码的分析,研究员们发现该黑客组织成员似乎是 StarCraft (星际争霸)游戏的忠实粉丝,因为行动中使用的许多术语和文件名都来自游戏,比如狂热者(Zealot)、观察者(Observer)、霸王(Overlord)、乌鸦(Raven)等。 不过 F5 专家们警告称, Zealot 的攻击活动运用了多级感染链、定制先进恶意软件 , 通过 NSA 漏洞进行横向扩散已经造成了巨大危害。而且黑客组织随时都有可能将最后阶段的 playload 更改为任何他们想要的东西,比如安装勒索软件而不是挖矿工具。 消息来源: BleepingComputer,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“雪人计划”在全球架设 IPv6 根服务器:中国部署 4 台

记者日前从下一代互联网国家工程中心获悉,由该中心牵头发起的 “雪人计划” 已在全球完成 25 台 IPv6(互联网协议第六版)根服务器架设,中国部署了其中的 4 台,打破了中国过去没有根服务器的困境。 最新统计数据显示,截至 2017 年 8 月,25 台 IPv6 根服务器在全球范围内已累计收到 2391 个递归服务器的查询,主要分布在欧洲、北美和亚太地区,一定程度上反映出全球 IPv6 网络部署和用户发展情况。从流量看,IPv6 根服务器每日收到查询近 1.2 亿次。根服务器负责互联网最顶级的域名解析,被称为互联网的 “中枢神经”。美国利用先发优势主导的根服务器治理体系已延续近 30 年。在过去的 IPv4(互联网协议第四版)体系内,全球共 13 台根服务器,唯一主根部署在美国,其余 12 台辅根有 9 台在美国,2 台在欧洲,1 台在日本。 工程中心主任刘东对新华社记者说,这个治理体系一方面造成了全球互联网关键资源管理和分配极不均衡;另一方面,缺乏根服务器使各国抵御大规模 “ 分布式拒绝服务 ” 攻击能力不足,为各国互联网安全带来隐患。此外,随着互联网接入设备数量增长,原有 IPv4 体系已经不能满足需求,IPv6 协议在全球开始普及。刘东介绍说,工程中心抓住这个历史机遇,于 2013 年联合日本和美国相关运营机构和专业人士发起“雪人计划”,提出以 IPv6 为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。 据悉,在与现有 IPv4 根服务器体系架构充分兼容基础上,“ 雪人计划 ”于 2016 年在美国、日本、印度、俄罗斯、德国、法国等全球 16 个国家完成 25 台 IPv6 根服务器架设,其中 1 台主根和 3 台辅根部署在中国,事实上形成了 13 台原有根加 25台 IPv6 根的新格局,为建立多边、民主、透明的国际互联网治理体系打下坚实基础。 稿源:cnBeta、新华社;封面来自网络

IBM 忘记续域名导致云服务出现问题

据外媒报道,IBM 的负载均衡和反向 DNS 服务器于上个月发生了长达 21 小时的故障,蓝色巨人一开始将这起故障归罪于它正转移部分域名的第三方域名注册商,称注册商意外将域名设置为“保留状态”阻止了域名转移。 不过,目前,IBM 公布了事故报告,称原因是多个域名过期没有及时更新。受影响的域名包括 network-layer.net、 global-datacenter.com 和 global-datacenter.net。对于这家将未来寄予云端和 AI 的科技巨人而言这不是什么好消息。 稿源:solidot奇客,封面源自网络;