黑客组织对 Linux 系统发起 SSH 暴力攻击以部署 Chaos 后门

Track-宁邪   ·   发表于 2018-02-26 16:57:01   ·   黑客新闻

       外媒 2 月 23 日消息,研究人员发现黑客组织正在对使用弱密码保护的 Linux 系统发起 SSH 暴力攻击,以部署一个名为 Chaos 的后门。据悉,该后门可能会被野外攻击者用于全球范围内 Linux 服务器。

根据 GoSecure 专家的说法,Chaos 后门其实是 “ sebd ” Linux rootkit 的组件之一,该组件早在2013 年就已被使用。

chaos

由于 Chaos 后门不依赖于任何漏洞攻击,所以 GoSecure 的研究人员认为它并不复杂。而且该后门也并不先进,因为只是管理员无法为其服务器设置强密码而已。但 Chaos 后门存在一个巧妙的优势,它在端口 8338 上打开了一个原始套接字,并在其上侦听命令。 GoSecure 的专家表示:

“ 比较好的防火墙都会阻止传入的数据包进入任何未被明确开放的端口。但是,使用原始套接字的 Chaos 却可以在运行现有合法服务的端口上被触发。”

那么要如何检查用户系统是否受到感染呢?相关专家建议以 root 身份运行 netstat –lwp 来检测。此外,由于 Chaos 不是单独出现,而是至少有一个具有远程代码执行能力的 IRC Bot,因此 GoSecure  建议受感染的主机从一个可靠的备份中重新安装,并提供一组新的凭据。

转自 HackerNews.cc:http://t.cn/REUs6wc

打赏我,让我更有动力~

1 条回复   |  直到 2019-7-7 | 1676 次浏览

xeel
发表于 2019-7-7

netstat -lwp 

它会列出打开监听原始套接字的进程。然后,可以调查进程以评估它是否合法。 如果不知道它是什么,那么可能是不合法的,因为监听原始套接字很少见。

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.