作者:左右里
编辑:釉子
据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。
SSH,一种为远程登录会话和其他网络服务提供安全性的协议。
BitDefender早在5月就针对这个组织的加密劫持活动展开调查,并发现了对方的工具包。他们在一个开放目录顺利追踪到了恶意软件,并发现其自2021年2月起被相关域名 mexalz.us托管过。
以下是当前或以前托管在mexalz.us上的文件汇总:
这个暴力破解工具包被其制作者称为“Diicot brute”,以Golang编写,以单个包开发,包含以下功能:
黑客是如何利用该工具包进行攻击的呢?
整个过程可以分为三个阶段:
攻击者发现并进入弱SSH凭据的Linux设备后,他们会部署并执行loader从而收集系统信息,并使用HTTP POST将其转发给webhook的攻击者。黑客将在此步骤收集到的信息用于判断被攻击设备的利用价值。
攻击者的另一步操作是更改shell配置、覆写文件。
黑客通过bash禁用了几个shell命令,目的是使shell不被后来者操作。至此,黑客已成功安装门罗币恶意挖矿软件。
据悉,这个工具目前仍有效。据BitDefender称,已查明的IP地址属于一个相对较小的集合,说明本次事件的黑客组织尚未使用受攻击的系统来传播恶意软件。
那么该如何防止SSH 暴力破解呢?
1、足够复杂的密码
2、修改默认端口号
3、不允许Root账号直接登陆
4、不允许密码登陆,只能通过认证的秘钥来登陆系统
5、借助第三方工具fail2ban防御
以上方法便是防止SSH暴力破解的一些措施,可供大家参考哦~