The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атака на уязвимые серверы с Cacti для майнинга криптовалюты

24.03.2018 21:42

Компания Trend Micro сообщила о выявлении атаки на серверы с открытым доступом к web-интерфейсу необновлённой и некорректно настроенной системы мониторинга Cacti. В ходе атаки осуществляется запуск на сервере кода для майнинга криптовалюты Monero. В настоящее время на связанном с атакой кошельке уже накопилось около 320 XMR, что по текущему курсу соответствует 69 тысяч долларов США.

Утверждается, что для запуска кода используется уязвимость в плагине Network Weathermap, которая была устранена ещё в 2013 году (в отчёте Trend Micro упоминается CVE-2013-2618, но это XSS и, вероятно, атака производится через другую уязвимость, например через CVE-2013-1435, позволяющую выполнить shell-код через манипуляцию с параметрами snmp.php и rrd.php). Через эксплуатацию уязвимости на сервер загружается подставной скрипт conn.php (или cools.php) с бэкдором, который в дальнейшем используется для загрузки кода майнинга, похожего на код, который ранее применялся в ходе атаки на серверы Jenkins.

Вопросы вызывает то, что код загружаемого атакующими скрипта запускается с правами root и записывается в /etc/rc.local. Не уточняется каким образом осуществляется получение прав root, возможно атака производится только на определённые типовые серверы, в которых Cacti, запускается под пользователем root. В пользу этой гипотезы также говорит нетипичное для систем мониторинга наличие доступа к Cacti без аутентификации и использование достаточно специфичного внешнего плагина Network Weathermap.



  1. Главная ссылка к новости (https://blog.trendmicro.com/tr...)
  2. OpenNews: Атакующие заработали 3.3 млн долларов, организовав майнинг на уязвимых серверах Jenkins
  3. OpenNews: Релиз системы мониторинга Cacti 0.8.7h с устранением уязвимости
  4. OpenNews: Уязвимости в ядре Linux, TYPO3, Dovecot, ownCloud и Cacti
  5. OpenNews: Релиз системы мониторинга Cacti 0.8.8h с устранением уязвимостей
  6. OpenNews: Релиз системы мониторинга Cacti 1.0.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48326-cacti
Ключевые слова: cacti, miner
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (65) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pavlinux (ok), 21:52, 24/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Все в плюсе - 69К у посанов, Trend Micro - реклама, промоушен для Сacti. ИЧСХ, за это никому ничего не будет.)
     
     
  • 2.2, Crazy Alex (ok), 21:53, 24/03/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А кому и что за это должно быть? Разве что тупopылым сисадминам, держащим дыры шестилетней давности - и то если хоть какой-то реальный ущерб обнаружится.
     
     
  • 3.3, pavlinux (ok), 21:56, 24/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > А кому и что за это должно быть?

    Не знаю как у нас, а в США статьи: "Незаконное использование вычислительных ресурсов" и "Внедрение вредоносного кода".


    А, дык, Статья 273 п.2 УК РФ.

    2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, -

     
     
  • 4.5, rshadow (ok), 22:03, 24/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это ты админов предлагаешь сажать, за незакрытые дыры старше 5 лет? гы гы
     
     
  • 5.7, pavlinux (ok), 22:08, 24/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я даже могу пароль не ставить на рута - залезешь, тебе ..зды, а не мне.
    Ну а если жить по законам джунглей, то да, кто сильнее тот и прав.

    Дверь открываемая с ноги - считается не существующей.
    Государство без атомного оружия - сборище биомассы на расходники.

     
     
  • 6.10, rshadow (ok), 22:17, 24/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Где вы берете эту траву? От простой шутейки, до атомного оружия и биомассы всего за пару минут догоняет.
     
     
  • 7.11, pavlinux (ok), 22:30, 24/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Алкашку Зинку посадили на 3 года за сп..жженый огурец из Пятерочки и
    Мавроди за мильярд столько же :)

    Я к тому, что такая показуха на безнаказанности маининга ведет
    к нестабильностям всяким. В первую очередь в низших слоях населения.
    "Если пару задротов склеозников надергали 70k$,то почему бы качку
    срайона не отжать мобилу у такого же майнера, с оправкой в реанимацию".

     
     
  • 8.16, Аноним (-), 00:39, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    дело не в монетах, а в массово уязвимых серверах, как с memcached, например скр... текст свёрнут, показать
     
     
  • 9.35, Аноним (-), 19:40, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вот смотрите - у вас дома лежат деньги, я подошел и болгаркой вырезал дверь - вы... текст свёрнут, показать
     
     
  • 10.38, Аноним (-), 20:47, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да я и не верю в свою неуязвимость как и в закон, могу быть не только ограбленны... текст свёрнут, показать
     
  • 10.60, YetAnotherOnanym (ok), 14:07, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот смотрите, у Вас дома лежит дробовик, Вы должны держать его в сейфе и под сиг... текст свёрнут, показать
     
  • 6.42, _ (??), 09:26, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кто кому будет ..зды прописывать уточните после попадания под 239 УК РФ. Ну или после попадания под внутренний регламент по безопасности.
    До тех пор можете жить в мире розовых единорогов и с открытым наружу рутом сколько вам угодно.
     
  • 5.22, YetAnotherOnanym (ok), 13:04, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Старую истину "простота хуже воровства" никто не отменял. К тому же слишком многие уже завязано на надёжное функционирование интернета, если где-то над разрезанным больным замрёт Да Винчи из-за забитых ДДОС-атакой каналов, то все админы, предоставившие свои мощности хакерам, несут ответственность за смерть этого больного.
     

  • 1.4, Аноним (-), 22:03, 24/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    То, что они атаковав чуть больше 200 серверов за пару месяцев заработали $70000 говорит о том, что атаковали целенаправленно какие-то платформы для майнинга. Или что-то типа Hive OS ломают.
     
     
  • 2.8, Аноним (-), 22:14, 24/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сейчас тьма разных стартапов, впаривающих облачные сервисы и собранные на коленке дистрибутивы Linux для майнинга. У большинства как класса нет установки обновлений. Не понимаю зачем парятся со взломом обычных серверов и сайтов, когда проще и выгоднее ломать фермы и боксы для майнинга, они все дырявые как решетO.
     

  • 1.6, pavlinux (ok), 22:07, 24/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Прикроют нахрен всю эту лавочку, если не будет гос. регулятора.
    Никакой финансовой системе не нужны такие внезапные миллионеры.
     
     
  • 2.17, Аноним (-), 01:54, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Не нужен твой госрегулятор как и все "гос", ни здесь, ни в США нигде в мире. Любое госругилирование - это ругулирование путем ущемления интересов людей стадом баранов ради собственного благополучия. Так что лучше пусть будут хакеры-майнеры-миллионеры, чем всякие шуваловы у которых жена на частном самолете возит собак на выставку. От майнеров хоть вреда нет, они не придумывают тупые законы, а шуваловы жить мешают.
     
     
  • 3.24, pavlinux (ok), 13:09, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Не нужен твой госрегулятор как и все "гос", ни здесь, ни в США нигде в мире.

    А вот не нравиться мне твой комент, и вместо минуса на форуме, я тебя просто прибью.
    Ощутил отсутствие регулятора? :)

     
     
  • 4.29, Аноним (-), 16:09, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот не нравиться мне твой комент, и вместо минуса на форуме, я тебя просто прибью.
    > Ощутил отсутствие регулятора? :)

    Как будто присутствие (существование) регулятора что-то гарантирует. Инфантильная чушь. Пример недавно: есть регулятор, контролирующие органы и даже конкретные возмущения народных масс, но в Волокаламске как не ставили настоящий диагноз пострадавшим и умершим, так и не ставят. Говорят прямо - нам запретили ставить диагноз, мы не может это сделать. Иди нахрен со своим регулятором, глупый раб.

     
     
  • 5.41, Аноним (-), 06:17, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не гарантирует что не прибьют, но сильно уменьшает вероятность.
    Ты можешь радоваться тому что когда идешь по улице тебя не пристрелят запросто так, потому что могут.
     
     
  • 6.54, Аноним (-), 13:29, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Не гарантирует что не прибьют, но сильно уменьшает вероятность.

    Вообще не уменьшает, т.к. ди6илам все равно побоку ваши законы, а вменяемые и без законов не стали бы причинять вред другому лицу, животному или окружающему миру.

    > Ты можешь радоваться тому что когда идешь по улице тебя не пристрелят запросто так, потому что могут.

    Не могу, т.к. множество случаев когда стреляют, режут, бьют насмерть, даже на видео таких не мало. Я еще не про обычных людей говорю - есть множество доказательств когда лица из правоохранительных и судебных инстанции доказывают чего стоит закон и система построенная на власти. Так что это ты можешь радоваться всякому, т.к. у тебя достаточный уровень наивности.

     
     
  • 7.71, _ (??), 20:44, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это так, да Но их время от времени прореживают Оглядываясь вокруг Да 8-о... большой текст свёрнут, показать
     
  • 4.63, YetAnotherOnanym (ok), 14:17, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот не нравиться мне твой комент, и вместо минуса на форуме,
    > я тебя просто прибью.
    > Ощутил отсутствие регулятора? :)

    Бесполезно, коллега. Мечта быть лохом посреди анархии не лечится.

     
     
  • 5.72, _ (??), 20:47, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Оно не анархия. Оно - "оножедети"(С)
    В анархии в основном были не лохи, а хорошо вооружённые цыники ;) ... да и то - только в моменты когда власть была слабой. Потому как чирьевато ...
     
  • 3.26, Аноним (-), 13:51, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > От майнеров хоть вреда нет, они не придумывают тупые законы, а шуваловы жить мешают.

    Да точно такие же паразиты. От Шувалова в масштабах страны тоже не особо большой вред, как и от отдельно взятого майнера в масштабах планеты. Но вот когда их много…

     
     
  • 4.30, Аноним (-), 16:13, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Да точно такие же паразиты. От Шувалова в масштабах страны тоже не особо большой вред, как и от отдельно взятого майнера в масштабах планеты. Но вот когда их много…

    От одной яровой сколько проблем, от шувалова не меньше. От одного майнера нет вообще никаких проблем, даже когда их много. Не надо устраивать голословность и наговаривать на майнеров (при этом я сам не майнер).

     
     
  • 5.44, Аноним (-), 10:40, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > От одного майнера нет вообще никаких проблем, даже когда их много.

    Ты серьёзно думаешь, что криптомиллионеры (не рядовые майнеры-лохи) делают деньги из ничего? Из ничего они делают то же самое ничего, только добиваются того, чтобы оно считалось деньгами, и обменивают на вполне реальные материальные блага, которых в результате недополучают трудяги. Добавили один уровень абстракции над обычной финансовой пирамидой — те её уже и не видишь. Суть остаётся той же: несправедливое перераспределение материальных благ.
    А законодательное вредительство тут, разумеется, ни при чём. О нём речи выше и не шло.

     
     
  • 6.55, Аноним (-), 13:33, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не говорил ничего что я думаю насчет того делают ли майнеры или криптомиллионеры деньги из ничего или нет. У тебя вой о чем-то болезненном, личном. Вероятно тебе хотелось поистерить, но повода ты не нашел, поэтому решил додумать и притянуть тему за уши.

    > Суть остаётся той же: несправедливое перераспределение материальных благ

    Пока власть и деньги связаны - всегда будет несправедливое распределение материальных благ, значит справедливости не будет. Поэтому я не вижу смысл апеллировать к ней. Так что иди лесом.

     
     
  • 7.74, _ (??), 20:54, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Пока власть и деньги связаны

    "Пока"?! :-)

    Если у тебя есть власть - ты хочешь денег.
    Если у тебя есть деньги - ты хочешь власти.
    Если у тебя есть и то и другое, ты хочешь этого же, но в 10 раз больше.

    The world Administraor guide. Chapter: The world internals. Sub: Basic rules. (C)

    Как то так(С)

     
     
  • 8.77, Аноним (-), 21:29, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Еще один пенсионер с пенсионерскими истинами подтянулся Вы, такие, в новом све... текст свёрнут, показать
     
  • 6.73, _ (??), 20:50, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Суть остаётся той же: несправедливое перераспределение материальных благ.

    Оно никогда другим и не было :( И боюсь - никогда и не будет.

     

  • 1.12, Аноним (-), 22:31, 24/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    какие благородные нынче хакеры пошли
     
     
  • 2.15, Аноним (-), 00:23, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Уже не первый прямой случай пользы криптовалют обществу - атаки теперь заканчиваются расходом вычислительных мощностей. Слив данных, продажа серверов для незаконных дел - теперь в прошлом.
     
     
  • 3.18, Аноним (-), 03:00, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    какой там сервер, если 5+ лет без обнов, скорее завалящее го-но, которого админ школы или пту насобирает не меньше, но где истории про тех админов, которым кстате тоже не надо платить за электричество-
     

  • 1.21, lone_wolf (ok), 12:23, 25/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А с какого редактора сриншот?
     
  • 1.25, Аноним (-), 13:45, 25/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Интересно, в каком всё-таки ПТУ учат писать такое?


    ps aux | grep $PROGNAME | grep -v grep | wc -l


    Не может же быть, чтобы до такого изврата все сами додумывались. А вижу подобное постоянно.
     
     
  • 2.27, lone_wolf (ok), 15:03, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо, напишите как правильно
     
     
  • 3.28, Andrey Mitrofanov (?), 15:11, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Хорошо, напишите как правильно

    [CODE] pgrep $PROGNAME -fc [/CODE]

     
     
  • 4.36, Crazy Alex (ok), 19:50, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это частный случай, который надо знать. А указанное выше - собирается из совсем базовых кирпичиков любым, кто хоть как-то в состоянии работать с командной строкой. Мутно, да. Зато доступно и чётко видно, что происходит.
     
     
  • 5.46, Аноним (-), 10:49, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Собирается, да. Только в общем случае не работает. Ты нагрепаешь кучу всего по частичному совпадению имени процесса, аргументов или пользователя. Если так хочешь использовать именно ps (для POSIX-совместимости, например), почитай сначала ман, а не вставляй aux везде, где ни попадя. Если хочешь использовать grep — подучи регулярки.
    Дело вовсе не в каком-то там частном случае, а в том, что мозг надо включать. Если тебе кажется, что в приведённом конвейере тебе чётко видно, что происходит, работать с командной строкой ты не в состоянии.
     
  • 3.31, Аноним84701 (ok), 16:29, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Хорошо, напишите как правильно

    Eсли религиозные убеждения не позволяют использовать p(grep|kill), то:
    ps foo | grep -c "ba[r]"

     
     
  • 4.37, пох (?), 20:20, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > ps foo | grep -c "ba[r]"

    в оригинальном коде автор позаботился не посчитать сам процесс grep.
    Вы в порыве улучшизма - сломали работающую программу. Как обычно, с этими улучшателями...

     
     
  • 5.39, Аноним84701 (ok), 21:55, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> ps foo | grep -c "ba[r]"
    > сломали работающую программу. Как обычно, с этими улучшателями...

    Намек на еgrep или просто потому что гладиолус?

     
  • 5.47, Аноним (-), 10:57, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> ps foo | grep -c "ba[r]"
    > в оригинальном коде автор позаботился не посчитать сам процесс grep.
    > Вы в порыве улучшизма - сломали работающую программу. Как обычно, с этими
    > улучшателями...

    Открой ман, что ли. ps без опций не выводит аргументы, поэтому grep в список не попадёт. Увы, почти никто не в курсе, что можно использовать ps без опции u (и даже без a и x, да-да).
    Но тут другие ошибки: во-первых, команда "ps foo" бессмысленна, во-вторых, если бы она вывела нечто, содержащее список процессов, grep нашёл бы частичные совпадения, в-третьих, сама регулярка тоже бессмысленна (зачем задавать класс символов из одного символа?).

     
     
  • 6.50, ыы (?), 13:04, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    >> Вы в порыве улучшизма - сломали работающую программу. Как обычно, с этими
    >> улучшателями...
    > Открой ман, что ли. ps без опций не выводит аргументы, поэтому grep
    > в список не попадёт. Увы, почти никто не в курсе, что
    > можно использовать ps без опции u (и даже без a и
    > x, да-да).
    > Но тут другие ошибки: во-первых, команда "ps foo" бессмысленна, во-вторых, если бы
    > она вывела нечто, содержащее список процессов, grep нашёл бы частичные совпадения,
    > в-третьих, сама регулярка тоже бессмысленна (зачем задавать класс символов из одного
    > символа?).

    $ps foo
    ошибка: unknown user-defined format specifier "o"

    Использование:
    ps [опции]

    Попробуйте 'ps --help <simple|list|output|threads|misc|all>'
      или 'ps --help <s|l|o|t|m|a>'
    для дополнительной справки.

    Для дополнительных подробностей смотрите ps(1).

     
     
  • 7.58, Andrey Mitrofanov (?), 13:49, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > $ps foo
    > ошибка: unknown user-defined format specifier "o"
    > Для дополнительных подробностей смотрите ps(1).

    http://www.catb.org/jargon/html/F/foo.html

     
  • 6.70, пох (?), 20:16, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Открой ман, что ли. ps без опций не выводит аргументы, поэтому grep в список не попадёт.

    и то что мы ищем тоже.
    foo/bar - общепринятые плейсхолдеры, ваш к.о.

    > что можно использовать ps без опции u (и даже без a и x, да-да).

    можно, только то что он ищет, не покажет. зачем мне процессы, прилипшие к моей терминальной сессии?

     
     
  • 7.79, Аноним (-), 00:06, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Чего тебе ps -e не покажет?
     
  • 2.34, Мегаадмин (?), 19:31, 25/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я так пишу. Додумался сам. Какие претензии?
     
     
  • 3.48, Аноним (-), 10:59, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я так пишу. Додумался сам. Какие претензии?

    См. #46.

     
     
  • 4.49, ыы (?), 13:01, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    там болтовня и вообще много общих фраз.
     
     
  • 5.64, Аноним (-), 14:24, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ок, разберём конкретно, по пунктам 1 Команда ps предназначена для вывода инфор... большой текст свёрнут, показать
     
     
  • 6.75, ыы (?), 21:02, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Команда ps предназначена для вывода информации в человекочитаемом виде, а не для парсинга

    Мне как-то не приходило в голову что DSV - это человекочитабельный формат не предназначенный для машинной обработки. Извините.

     
     
  • 7.78, Аноним (-), 23:25, 26/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это что-то новенькое. Ну излагай, не томи. В POSIX ничего про DSV нет, в мане от гнутого ps тоже не вижу.
     
  • 7.81, Аноним (-), 15:24, 27/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Или, может, ты просто не знаешь, что такое DSV, и обозвал этими буквами обычный вывод ps? В таком случае ты глубоко заблуждаешься: с DSV он не имеет ничего общего.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру