通过 SSH 暴力攻击 Linux 服务器

简介: 通过 SSH 暴力攻击 Linux 服务器

640.png


自 2022 年 6 月中旬首次发现以来,人们观察到一种名为RapperBot的新型物联网僵尸网络恶意软件正在迅速发展其功能。


“这个系列大量借鉴了原始Mirai 源代码,但它与其他 IoT 恶意软件系列的不同之处在于它内置的功能是暴力破解凭据并获得对 SSH 服务器的访问权限,而不是 Mirai 中实现的 Telnet,”Fortinet FortiGuard 实验室在一份报告中。


该恶意软件的名称来自早期版本的 YouTube 说唱音乐视频的嵌入式 URL,据说已经积累了越来越多的受感染 SSH 服务器,有超过 3,500 个唯一 IP 地址用于扫描和暴力破解。进入服务器。


RapperBot 当前的实施也将其与 Mirai 进行了描述,使其主要用作 SSH 蛮力工具,但执行分布式拒绝服务 (DDoS) 攻击的能力有限。


与传统 Mirai 行为的偏差进一步证明,它试图在受感染的主机上建立持久性,有效地允许威胁参与者在恶意软件被删除或设备重新启动后很长时间内保持长期访问。

这些攻击需要使用从远程服务器接收到的凭据列表来暴力破解潜在目标。成功侵入易受攻击的 SSH 服务器后,有效凭据将被泄露回命令和控制系统。


研究人员说:“自 7 月中旬以来,RapperBot 已从自我传播转向维持对暴力 SSH 服务器的远程访问。”


640.png


访问是通过将运营商的 SSH 公钥添加到一个名为“ ~/.ssh/authorized_keys ”的特殊文件中来实现的,从而允许攻击者使用相应的私钥连接并验证服务器,而无需提供密码。


研究人员解释说:“这对受损的 SSH 服务器构成了威胁,因为即使在 SSH 凭据已更改或 SSH 密码身份验证被禁用后,威胁者也可以访问它们。”


“此外,由于文件被替换,所有现有的授权密钥都被删除,这会阻止合法用户通过公钥认证访问 SSH 服务器。”


这种转变还使恶意软件能够通过 SSH 保持对这些被黑设备的访问,从而允许攻击者利用立足点进行 Mirai 式的拒绝服务攻击。


与其他物联网恶意软件家族的这些差异产生了副作用,使其主要动机变得神秘,这一事实进一步复杂化,因为 RapperBot 的作者几乎没有留下任何关于其出处的迹象。


尽管放弃了自我传播以支持持久性,但据说僵尸网络在短时间内发生了重大变化,其中主要是从工件中删除了 DDoS 攻击功能,只是重新引入了一周后。


最终,该活动的目标充其量只是模糊不清,在成功妥协后没有观察到后续活动。很明显,具有默认或可猜测凭据的 SSH 服务器正被限制在僵尸网络中,用于某些未指定的未来目的。


为了抵御此类感染,建议用户为设备设置强密码或尽可能禁用 SSH 密码验证。


研究人员说:“尽管这种威胁大量借用了 Mirai 的代码,但它具有使其与前身及其变体不同的功能。” “它在受害者系统中持续存在的能力使威胁参与者可以灵活地将它们用于他们想要的任何恶意目的。”


640.png


自 2022 年 6 月中旬以来,FortiGuard Labs 一直在跟踪一个快速发展的 IoT 恶意软件家族,称为“RapperBot”。该家族大量借鉴了原始 Mirai 源代码,但它与其他 IoT 恶意软件家族的不同之处在于其内置的暴力破解能力强制凭据并获得对 SSH 服务器的访问权限,而不是在 Mirai 中实现的 Telnet。


此外,最近的样本显示其开发人员已开始添加代码以保持持久性,这在其他 Mirai 变体中很少这样做。即使在设备重新启动或恶意软件已被删除后,这也使威胁参与者可以通过 SSH 继续访问受感染的设备。


受影响的平台: Linux
受影响的用户: 任何组织
影响: 远程攻击者控制易受攻击的系统
严重性级别: 严重


本文揭示了这种威胁如何感染并在受害者设备上持续存在,以及有趣的变化让我们质疑威胁参与者的真实意图。

https://www.fortinet.com/blog/threat-research/rapperbot-malware-discovery

相关文章
|
29天前
|
弹性计算 安全 Linux
阿里云服务器ECS安装宝塔Linux面板、安装网站(新手图文教程)
本教程详解如何在阿里云服务器上安装宝塔Linux面板,涵盖ECS服务器手动安装步骤,包括系统准备、远程连接、安装命令执行、端口开放及LNMP环境部署,手把手引导用户快速搭建网站环境。
|
3月前
|
Linux 网络安全 数据安全/隐私保护
使用Linux系统的mount命令挂载远程服务器的文件夹。
如此一来,你就完成了一次从你的Linux发车站到远程服务器文件夹的有趣旅行。在这个技术之旅中,你既探索了新地方,也学到了如何桥接不同系统之间的距离。
488 21
|
2月前
|
Java Linux 网络安全
Linux云端服务器上部署Spring Boot应用的教程。
此流程涉及Linux命令行操作、系统服务管理及网络安全知识,需要管理员权限以进行配置和服务管理。务必在一个测试环境中验证所有步骤,确保一切配置正确无误后,再将应用部署到生产环境中。也可以使用如Ansible、Chef等配置管理工具来自动化部署过程,提升效率和可靠性。
289 13
|
3月前
|
应用服务中间件 网络安全 数据安全/隐私保护
网关服务器配置指南:实现自动DHCP地址分配、HTTP服务和SSH无密码登录。
哇哈哈,道具都准备好了,咱们的魔术秀就要开始了。现在,你的网关服务器已经魔法满满,自动分配IP,提供网页服务,SSH登录如入无人之境。而整个世界,只会知道效果,不会知道是你在幕后操控一切。这就是真正的数字世界魔法师,随手拈来,手到擒来。
186 14
|
2月前
|
监控 Linux 网络安全
FinalShell SSH工具下载,服务器管理,远程桌面加速软件,支持Windows,macOS,Linux
FinalShell是一款国人开发的多平台SSH客户端工具,支持Windows、Mac OS X和Linux系统。它提供一体化服务器管理功能,支持shell和sftp同屏显示,命令自动提示,操作便捷。软件还具备加速功能,提升访问服务器速度,适合普通用户和专业人士使用。
197 0
|
2月前
|
存储 安全 Linux
Linux服务器上安装配置GitLab的步骤。
按照以上步骤,一个基础的GitLab服务应该运行并可以使用。记得定期检查GitLab官方文档,因为GitLab的安装和配置步骤可能随着新版本而变化。
233 0
|
4月前
|
Ubuntu 应用服务中间件 网络安全
关于一些轻量云服务器SSH断连的疑问
在使用2H2G配置的轻量级Ubuntu 22.04服务器时,按照Solana官网教程安装环境,执行`[cargo install]`命令(特别是安装avm和anchor包时),出现SSH连接中断且无法重新登录的问题。推测可能是低配服务器资源耗尽导致SSH进程被终止,即便CPU使用率下降也无法恢复连接,需重启服务器并等待约30分钟才能恢复正常。此现象或与服务器性能限制有关,期待更多测试与解释。
|
4月前
|
存储 安全 Ubuntu
从Linux到Windows:阿里云服务器系统镜像适配场景与选择参考
阿里云为用户提供了丰富多样的服务器操作系统选择,以满足不同场景下的应用需求。目前,云服务器的操作系统镜像主要分为公共镜像、自定义镜像、共享镜像、镜像市场和社区镜像五大类。以下是对这些镜像类型的详细介绍及选择云服务器系统时需要考虑的因素,以供参考。
|
3月前
|
Linux
Linux下版本控制器(SVN) -服务器端环境搭建步骤
Linux下版本控制器(SVN) -服务器端环境搭建步骤
186 0
Linux下版本控制器(SVN) -服务器端环境搭建步骤
|
4月前
|
Ubuntu Linux 网络安全
在Linux云服务器上限制特定IP进行SSH远程连接的设置
温馨提示,修改iptables规则时要格外小心,否则可能导致无法远程访问你的服务器。最好在掌握足够技术知识和理解清楚操作含义之后再进行。另外,在已经配置了防火墙的情况下,例如ufw(Ubuntu Firewall)或firewalld,需要按照相应的防火墙的规则来设置。
186 24