The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.03.2018 21:42  Атака на уязвимые серверы с Cacti для майнинга криптовалюты

Компания Trend Micro сообщила о выявлении атаки на серверы с открытым доступом к web-интерфейсу необновлённой и некорректно настроенной системы мониторинга Cacti. В ходе атаки осуществляется запуск на сервере кода для майнинга криптовалюты Monero. В настоящее время на связанном с атакой кошельке уже накопилось около 320 XMR, что по текущему курсу соответствует 69 тысяч долларов США.

Утверждается, что для запуска кода используется уязвимость в плагине Network Weathermap, которая была устранена ещё в 2013 году (в отчёте Trend Micro упоминается CVE-2013-2618, но это XSS и, вероятно, атака производится через другую уязвимость, например через CVE-2013-1435, позволяющую выполнить shell-код через манипуляцию с параметрами snmp.php и rrd.php). Через эксплуатацию уязвимости на сервер загружается подставной скрипт conn.php (или cools.php) с бэкдором, который в дальнейшем используется для загрузки кода майнинга, похожего на код, который ранее применялся в ходе атаки на серверы Jenkins.

Вопросы вызывает то, что код загружаемого атакующими скрипта запускается с правами root и записывается в /etc/rc.local. Не уточняется каким образом осуществляется получение прав root, возможно атака производится только на определённые типовые серверы, в которых Cacti, запускается под пользователем root. В пользу этой гипотезы также говорит нетипичное для систем мониторинга наличие доступа к Cacti без аутентификации и использование достаточно специфичного внешнего плагина Network Weathermap.



  1. Главная ссылка к новости (https://blog.trendmicro.com/tr...)
  2. OpenNews: Атакующие заработали 3.3 млн долларов, организовав майнинг на уязвимых серверах Jenkins
  3. OpenNews: Релиз системы мониторинга Cacti 0.8.7h с устранением уязвимости
  4. OpenNews: Уязвимости в ядре Linux, TYPO3, Dovecot, ownCloud и Cacti
  5. OpenNews: Релиз системы мониторинга Cacti 0.8.8h с устранением уязвимостей
  6. OpenNews: Релиз системы мониторинга Cacti 1.0.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cacti, miner
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, pavlinux, 21:52, 24/03/2018 [ответить] [смотреть все]
  • +3 +/
    Все в плюсе - 69К у посанов, Trend Micro - реклама, промоушен для Сacti. ИЧСХ, за это никому ничего не будет.)
     
     
  • 2.2, Crazy Alex, 21:53, 24/03/2018 [^] [ответить] [смотреть все] [показать ветку]
  • +6 +/
    А кому и что за это должно быть? Разве что тупopылым сисадминам, держащим дыры шестилетней давности - и то если хоть какой-то реальный ущерб обнаружится.
     
     
  • 3.3, pavlinux, 21:56, 24/03/2018 [^] [ответить] [смотреть все]
  • +5 +/
    Не знаю как у нас, а в США статьи Незаконное использование вычислительных ресу... весь текст скрыт [показать]
     
     
  • 4.5, rshadow, 22:03, 24/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Это ты админов предлагаешь сажать, за незакрытые дыры старше 5 лет? гы гы
     
     
  • 5.7, pavlinux, 22:08, 24/03/2018 [^] [ответить] [смотреть все]  
  • +3 +/
    Я даже могу пароль не ставить на рута - залезешь, тебе зды, а не мне Ну а ес... весь текст скрыт [показать]
     
     
  • 6.10, rshadow, 22:17, 24/03/2018 [^] [ответить] [смотреть все]  
  • +4 +/
    Где вы берете эту траву От простой шутейки, до атомного оружия и биомассы всего... весь текст скрыт [показать]
     
     
  • 7.11, pavlinux, 22:30, 24/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Алкашку Зинку посадили на 3 года за сп жженый огурец из Пятерочки и Мавроди за... весь текст скрыт [показать]
     
     
  • 8.16, Аноним, 00:39, 25/03/2018 [^] [ответить] [смотреть все]  
  • +/
    дело не в монетах, а в массово уязвимых серверах, как с memcached, например скр... весь текст скрыт [показать]
     
     
  • 9.35, Аноним, 19:40, 25/03/2018 [^] [ответить] [смотреть все]  
  • +/
    вот смотрите - у вас дома лежат деньги, я подошел и болгаркой вырезал дверь - вы... весь текст скрыт [показать]
     
     
  • 10.38, Аноним, 20:47, 25/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    да я и не верю в свою неуязвимость как и в закон, могу быть не только ограбленны... весь текст скрыт [показать]
     
  • 10.60, YetAnotherOnanym, 14:07, 26/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Вот смотрите, у Вас дома лежит дробовик, Вы должны держать его в сейфе и под сигнализацией, но он просто валяется на шкафу. Некто выбил фанерную входную дверь, взял Ваш дробовик и ограбил ювелирный, или просто перестрелял кучу народа, как Помазун. Вы точно не виноваты в этой ситуации?
     
  • 6.42, _, 09:26, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Кто кому будет ..зды прописывать уточните после попадания под 239 УК РФ. Ну или после попадания под внутренний регламент по безопасности.
    До тех пор можете жить в мире розовых единорогов и с открытым наружу рутом сколько вам угодно.
     
  • 5.22, YetAnotherOnanym, 13:04, 25/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Старую истину простота хуже воровства никто не отменял К тому же слишком мног... весь текст скрыт [показать]
     
  • 1.4, Аноним, 22:03, 24/03/2018 [ответить] [смотреть все]  
  • +2 +/
    То, что они атаковав чуть больше 200 серверов за пару месяцев заработали 70000 ... весь текст скрыт [показать]
     
     
  • 2.8, Аноним, 22:14, 24/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Сейчас тьма разных стартапов, впаривающих облачные сервисы и собранные на коленк... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, pavlinux, 22:07, 24/03/2018 [ответить] [смотреть все]  
  • –3 +/
    Прикроют нахрен всю эту лавочку, если не будет гос регулятора Никакой финансов... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 01:54, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    Не нужен твой госрегулятор как и все гос , ни здесь, ни в США нигде в мире Люб... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, pavlinux, 13:09, 25/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    А вот не нравиться мне твой комент, и вместо минуса на форуме, я тебя просто при... весь текст скрыт [показать]
     
     
  • 4.29, Аноним, 16:09, 25/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Как будто присутствие существование регулятора что-то гарантирует Инфантильна... весь текст скрыт [показать]
     
     
  • 5.41, Аноним, 06:17, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Не гарантирует что не прибьют, но сильно уменьшает вероятность Ты можешь радова... весь текст скрыт [показать]
     
     
  • 6.54, Аноним, 13:29, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Вообще не уменьшает, т к ди6илам все равно побоку ваши законы, а вменяемые и бе... весь текст скрыт [показать]
     
     
  • 7.71, _, 20:44, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    >Вообще не уменьшает, т.к. ди6илам все равно побоку ваши законы,

    Это так, да. Но их время от времени прореживают ...
    >а вменяемые и без законов не стали бы причинять вред другому лицу, животному или окружающему миру.

    (Оглядываясь вокруг) Да? 8-о
    Это в Эдеме работало ... но людей оттеда попёрли :-))))
    Хотя ... если ты радужн^W розовый поняша - то наверное да.
    Впрочем это только вопрос времени, как скоро ты окажешься внутри консервы с надписью "понина" :-)

    >есть множество доказательств когда лица из правоохранительных и судебных инстанции доказывают чего стоит закон и система построенная на власти.

    А ты видел систему построенную на безвластии? Даже у Махно власть таки была :)

    >Так что это ты можешь радоваться всякому, т.к. у тебя достаточный уровень наивности.

    Epic facepalm :-)))

     
  • 4.63, YetAnotherOnanym, 14:17, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    > А вот не нравиться мне твой комент, и вместо минуса на форуме,
    > я тебя просто прибью.
    > Ощутил отсутствие регулятора? :)

    Бесполезно, коллега. Мечта быть лохом посреди анархии не лечится.

     
     
  • 5.72, _, 20:47, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Оно не анархия. Оно - "оножедети"(С)
    В анархии в основном были не лохи, а хорошо вооружённые цыники ;) ... да и то - только в моменты когда власть была слабой. Потому как чирьевато ...
     
  • 3.26, Аноним, 13:51, 25/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Да точно такие же паразиты От Шувалова в масштабах страны тоже не особо большой... весь текст скрыт [показать]
     
     
  • 4.30, Аноним, 16:13, 25/03/2018 [^] [ответить] [смотреть все]  
  • +/
    От одной яровой сколько проблем, от шувалова не меньше От одного майнера нет во... весь текст скрыт [показать]
     
     
  • 5.44, Аноним, 10:40, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Ты серьёзно думаешь, что криптомиллионеры не рядовые майнеры-лохи делают деньг... весь текст скрыт [показать]
     
     
  • 6.55, Аноним, 13:33, 26/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Я не говорил ничего что я думаю насчет того делают ли майнеры или криптомиллионе... весь текст скрыт [показать]
     
     
  • 7.74, _, 20:54, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    >Пока власть и деньги связаны

    "Пока"?! :-)

    Если у тебя есть власть - ты хочешь денег.
    Если у тебя есть деньги - ты хочешь власти.
    Если у тебя есть и то и другое, ты хочешь этого же, но в 10 раз больше.

    The world Administraor guide. Chapter: The world internals. Sub: Basic rules. (C)

    Как то так(С)

     
     
  • 8.77, Аноним, 21:29, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Еще один пенсионер с пенсионерскими истинами подтянулся Вы, такие, в новом све... весь текст скрыт [показать]
     
  • 6.73, _, 20:50, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    >Суть остаётся той же: несправедливое перераспределение материальных благ.

    Оно никогда другим и не было :( И боюсь - никогда и не будет.

     
  • 1.12, Аноним, 22:31, 24/03/2018 [ответить] [смотреть все]  
  • –1 +/
    какие благородные нынче хакеры пошли
     
     
  • 2.15, Аноним, 00:23, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Уже не первый прямой случай пользы криптовалют обществу - атаки теперь заканчива... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 03:00, 25/03/2018 [^] [ответить] [смотреть все]  
  • +/
    какой там сервер, если 5 лет без обнов, скорее завалящее го-но, которого админ ... весь текст скрыт [показать]
     
  • 1.21, lone_wolf, 12:23, 25/03/2018 [ответить] [смотреть все]  
  • +/
    А с какого редактора сриншот?
     
  • 1.25, Аноним, 13:45, 25/03/2018 [ответить] [смотреть все]  
  • –1 +/
    Интересно, в каком всё-таки ПТУ учат писать такое code ps aux 124 grep PRO... весь текст скрыт [показать]
     
     
  • 2.27, lone_wolf, 15:03, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Хорошо, напишите как правильно
     
     
  • 3.28, Andrey Mitrofanov, 15:11, 25/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    > Хорошо, напишите как правильно

    [CODE] pgrep $PROGNAME -fc [/CODE]

     
     
  • 4.36, Crazy Alex, 19:50, 25/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Это частный случай, который надо знать А указанное выше - собирается из совсем ... весь текст скрыт [показать]
     
     
  • 5.46, Аноним, 10:49, 26/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Собирается, да Только в общем случае не работает Ты нагрепаешь кучу всего по ч... весь текст скрыт [показать]
     
  • 3.31, Аноним84701, 16:29, 25/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Eсли религиозные убеждения не позволяют использовать p grep 124 kill , то ps f... весь текст скрыт [показать]
     
     
  • 4.37, пох, 20:20, 25/03/2018 [^] [ответить] [смотреть все]  
  • –4 +/
    в оригинальном коде автор позаботился не посчитать сам процесс grep Вы в порыве... весь текст скрыт [показать]
     
     
  • 5.39, Аноним84701, 21:55, 25/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Намек на еgrep или просто потому что гладиолус ... весь текст скрыт [показать]
     
  • 5.47, Аноним, 10:57, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Открой ман, что ли ps без опций не выводит аргументы, поэтому grep в список не ... весь текст скрыт [показать]
     
     
  • 6.50, ыы, 13:04, 26/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    >[оверквотинг удален]
    >> Вы в порыве улучшизма - сломали работающую программу. Как обычно, с этими
    >> улучшателями...
    > Открой ман, что ли. ps без опций не выводит аргументы, поэтому grep
    > в список не попадёт. Увы, почти никто не в курсе, что
    > можно использовать ps без опции u (и даже без a и
    > x, да-да).
    > Но тут другие ошибки: во-первых, команда "ps foo" бессмысленна, во-вторых, если бы
    > она вывела нечто, содержащее список процессов, grep нашёл бы частичные совпадения,
    > в-третьих, сама регулярка тоже бессмысленна (зачем задавать класс символов из одного
    > символа?).

    $ps foo
    ошибка: unknown user-defined format specifier "o"

    Использование:
    ps [опции]

    Попробуйте 'ps --help <simple|list|output|threads|misc|all>'
      или 'ps --help <s|l|o|t|m|a>'
    для дополнительной справки.

    Для дополнительных подробностей смотрите ps(1).

     
     
  • 7.58, Andrey Mitrofanov, 13:49, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    > $ps foo
    > ошибка: unknown user-defined format specifier "o"
    > Для дополнительных подробностей смотрите ps(1).

    http://www.catb.org/jargon/html/F/foo.html

     
  • 6.70, пох, 20:16, 26/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    > Открой ман, что ли. ps без опций не выводит аргументы, поэтому grep в список не попадёт.

    и то что мы ищем тоже.
    foo/bar - общепринятые плейсхолдеры, ваш к.о.

    > что можно использовать ps без опции u (и даже без a и x, да-да).

    можно, только то что он ищет, не покажет. зачем мне процессы, прилипшие к моей терминальной сессии?

     
     
  • 7.79, Аноним, 00:06, 27/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Чего тебе ps -e не покажет?
     
  • 2.34, Мегаадмин, 19:31, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я так пишу. Додумался сам. Какие претензии?
     
     
  • 3.48, Аноним, 10:59, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    > Я так пишу. Додумался сам. Какие претензии?

    См. #46.

     
     
  • 4.49, ыы, 13:01, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    там болтовня и вообще много общих фраз.
     
     
  • 5.64, Аноним, 14:24, 26/03/2018 [^] [ответить] [смотреть все]  
  • –3 +/
    Ок, разберём конкретно, по пунктам 1 Команда ps предназначена для вывода инфор... весь текст скрыт [показать]
     
     
  • 6.75, ыы, 21:02, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    >Команда ps предназначена для вывода информации в человекочитаемом виде, а не для парсинга

    Мне как-то не приходило в голову что DSV - это человекочитабельный формат не предназначенный для машинной обработки. Извините.

     
     
  • 7.78, Аноним, 23:25, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Это что-то новенькое Ну излагай, не томи В POSIX ничего про DSV нет, в мане от... весь текст скрыт [показать]
     
  • 7.81, Аноним, 15:24, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Или, может, ты просто не знаешь, что такое DSV, и обозвал этими буквами обычный ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor