Исследователи из компании Imperva, поддерживающей honeypot с незащищёнными и уязвимыми СУБД для изучения атак на них, сообщили (https://www.imperva.com/blog/2018/03/deep-dive-database-atta... о выявлении вредоносной активности, нацеленной на организацию скрытого майнинга криптовалюты через СУБД PostgreSQL. Атака интересна тем, что вредоносный код для майнинга загружается с использованием методов стеганографии (https://ru.wikipedia.org/wiki/%D0%A1%D1%... и спрятан в PNG-изображении (https://www.imperva.com/blog/wp-content/uploads/2018/03/Post....Для выполнения вредоносного кода в PostgreSQL добавлялась написанная на языке Си (https://www.postgresql.org/docs/9.2/static/xfunc-c.html) UDF-функция (User-defined function) sys_eval (https://github.com/sqlmapproject/udfhack/tree/master/linux/l... позволяющая выполнить в системе любой код (передаёт входные параметры в вызовы system или popen). Для добавления (https://github.com/nixawk/pentest-wiki/blob/master/2.Vulnera... функции в системный каталог PostgreSQL скомпилированный код передавался в виде Large Object (https://www.postgresql.org/docs/9.4/static/lo-funcs.html) с его дальнейшим экспортом в файл при помощи вызова lo_export.
В ходе атаке данная UDF-функция была использована для выполнения команд в системе при помощи вызова "SELECT sys_eval('код')", используя PostgreSQL в качестве бэкдора или SQL-Shell. После получения контроля за сервером с PostgreSQL и установки UDF-функции sys_eval атакующие загружали картинку с публичного хостинга изображений imagehousing.com, извлекали скрытый в картинке код для майнинга криптовалюты Monero (XMR) и запускали его. В настоящее время, в используемом в ходе атаки кошельке накопилось 312.5 XMR, что по сегодняшнему курсу соответствует 65 тысячам долларов США (неделю назад было $117 тысяч).Сообщается, что для получения доступа к СУБД осуществлялся подбор пароля (brute force) для учётной записи postgres, создаваемой по умолчанию. Судя по всему, атака носит целевой характер и направлена на поражение какого-то облачного провайдера или оператора хостинга, предоставляющего доступ к PostgreSQL c применением некорректных с точки зрения безопасности настроек. Например, поисковая система Shodan находит (https://www.shodan.io/report/KKSETG6u) более 709 тысяч PostgreSQL-серверов с открытым сетевым портом 5432, из которых 80 тысяч предоставляются Amazon AWS. Так же возможно, что атака используется для оргаизации скрытого майнинга на уже взломанных серверах, поражённых каким-то иным способом (например, через эксплуатацию уязвимости в другом сервисе или web-приложении с эскалацией привилегий) и использующих PostgreSQL как точку для получения скрытого доступа извне.
Вероятность атаки на обычные серверы минимальна, так как по умолчанию доступ к СУБД PostgreSQL открыт только с локального хоста, а библиотеки с реализацией пользовательских функций на языке Си необходимо загружать в системную директорию или необходимо изменение настроек PostgreSQL (т.е. для атаки нужны полномочия администратора СУБД). Также не исключено, что атака может производиться и через серверы MySQL, так как аналогичная вредоносная пользовательская функция на языке Си доступна (https://github.com/sqlmapproject/udfhack/tree/master/linux/l... и для данной СУБД.
URL: https://www.imperva.com/blog/2018/03/deep-dive-database-atta.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48269
включаю ютуб, а там майнер. Включаю постгрес, а там тоже майнер. Уже боюсь утюг включать.
Ага, а как включишь майнер в попытке намайнить хоть что-то, так он тебе тупо греет процессор и толку 0.
вся суть современного IT
А вот утюг как раз таки греется честно!
Просто жрать электричество и честно греть сейчас не модно.
Нагревание сейчас побочный продукт разнообразной фигни
Да, надо срочно делать процы для майнинга, которые бы переносили нагрев до 200 градусов! Жена гладит, а ты - деньги зарабатываешь! :)
Отличная идея:
1. Делаем смарт-утюг (ASIC) с Wi-Fi;
2. При первом включении утюг поднимает свой хотспот, покупатель к нему подключается и настраивает под свои нужды (что именно хотим майнить, выбираем майнинговый пул и т.п.);
4. Напомним покупателю на всякий случай, чтобы он не был дураком и чтобы он не забыл перевести утюг из режима точки доступа в режим клиента, предварительно указав точку и пароль к ней;
3. Как только утюг включается в сеть - он начинает майнить и вырабатывать тепло в качестве побочного эффекта. Жена гладит, а электричество окупается, ещё и сложность сети поддерживается;
4. ??????
5. PROFIT! Все довольны.Само собой, никто таким бредом заниматься не будет. Верно?... Погодите... Ох б~~... https://goo.gl/jAoAxR
Ты ещё про спикеры и наушники забыл, а то смотри, через звук майнер залетит)
Майнить будет подсознание :)
А с учётом предыдущей темы скоро в и утюгах, и в холодильниках будет.
Он от этого только нагреется... А это основная функция утюга!11
> Он от этого только нагреется... А это основная функция утюга!11Утюг с майнером? Да это прекрасная идея для стартапа!
>> Он от этого только нагреется... А это основная функция утюга!11
> Утюг с майнером? Да это прекрасная идея для стартапа!UR SLOW!1 https://www.ixbt.com/news/2018/03/14/qarnot-qc-1.html
Лучше водонагреватель. Вполне реально ж сделать, даже температура нужная.
Там как раз гипервизор для встраиваемых устройств разрабатывают. Чтобы можно было майнить в каждом холодильнике.
udf функции есть во многих СУБД
т.е. не исключено, что и в других такое повторить можно
Офигенная стеганография: dd skip=...
Вот это я понимаю, эксплойт, не то что какой-то там скрипт на бидоне.
> Вот это я понимаю, эксплойт, не то что какой-то там скрипт на
> бидоне.Ты всйо перепутал!
В теме не "ксплойт", а пейлоад. Ксплойтят в новости выше _уязвимые_ ханипоты.
Майнинг здесь просто использование некорректных настройках самого скл, ломается ведь учетная запись posgres, после чего доступно выполнение любого кода с правами этой учетной записи, а там можно не только майнить...
Что-то непонятно, на CPU уже давно не майнят, а редиски килобаксы монерой рубят....Гуглим monero benchmarks и monero mining calculator.
Выходит, что ксеон 8 ядерный выдаёт 24килохэшей, а приносит это 612 баксов в месяц. Учитывая, что preemtible instance у того же гугля стоит НАМНОГО дешевле, зачем заморачиваться со взломами?
Майнеры опеннета, ау?
Всё, сам понял, 8X XEON PHI 7220 это не проц
> Что-то непонятно, на CPU уже давно не майнят, а редиски килобаксы монерой рубят....такая же херня :-(
причем запускал я ровно то, что (если верить этим исследователям, а я б и ломанного гроша за них не дал) запускают троянцы (не стал только хакать на предмет отъема несчастных 5% у автора) - получил такое, что проще тот сервер сдать во вторчермет, за корпус больше дадут, он у него дубовый.> Выходит, что ксеон 8 ядерный выдаёт 24килохэшей, а приносит это 612 баксов в месяц.
чего-то ты не то гуглил - или оно устарело лет на пять.
у меня 24ядра (правда, не хватило кэша чтоб использовать все, но 14 поднялись), и результат - просто вот курам на смех.
не смогли майнер на чистом sql написать...вот и пришлось извращатся...
на Pro*C
такое ощущение что огромная куча народа помешалась на майнинге.
Только впечатление? Я в этом уверен. Уже года два как.
Красота то какая!!!
Как я понимаю локально все это происходит! Ну если так зачем столько гемора?
хакеры используют сервера postgres для майнинга криптовалют, но админы postgres-серверов не заметили разницы, поскольку postgres как жрал 100% cpu до заражения, так и продолжил жрать 100% cpu после заражения
но при этом прекратил работать на хозяина, а стал майнить для кацкеров
> но при этом прекратил работать на хозяина, а стал майнить для кацкеровда я, честно говоря, и раньше подозревал, что не он на меня, а я на него работаю :-(
Поменяй ник на "Микробот", ты ведь мелкая мягкая манька, торговать сюда пришла
нужно было сразу делать хранимую процедуру sys_mine и майнить sql-запросами вида `select coin from sys_mine('XMR')` #оптимизация
Только amd64? На S390X не сработает.
Наверное, если скомпилить эту функцию в код S390X, то сработает.
О, боже мой, такая печаль, придётся не трогать все 3½ S390X!
Картинго загружаеется
http://img1.imagehousing.com/0/art-981754.png
внутри elf
майнеры - это полезные для безопасности существа, все фичи спалили! Выявить - как двабайтаобасфальт :)
Новость только то, что в открытую дверь зашли только майнеры
В чем новость? зашли и поэксплуатировали вычислительный ресурс сервера. Так сервер для это и предназначен.
> аналогичная вредоносная UDF-функция на языке Си доступнаРаспространение ссылок на вредоносное ПО...
>> аналогичная вредоносная UDF-функция на языке Си доступна
> Распространение ссылок на вредоносное ПО...Сенсация! В Windows встроено вредоносное ПО - в меню Пуск можно выполнить cmd и любую программу. UDF-функция по ссылке ничем по своей вредоносности от этого не отличается, просто позволяет запустить любую команду, как и shell, как и функция system из libc.