黑客利用存在5年的漏洞感染Linux服务器:并获利

趋势科技的网络安全专家表示，他们发现黑客组织利用一个存在5年之久的漏洞，在Linux服务器上安装了门罗币挖矿软件，通过此获取了将近75000美元。

一、Linux服务器上一插件存在漏洞

美国安全公司趋势科技的网络安全专家发现，有黑客组织利用一个名为Cacti“Network Weathermap”的插件上一个存在了5年之久的漏洞，感染了全球不少Linux服务器。

据悉，攻击者成功了感染了这些Linux服务器之后，将门罗币挖矿脚本放置其中来谋取利益，据不完全统计，这些攻击者非法获利接近75000美元。

有证据显示，这些攻击者与过去发生在Jenkins服务器上的共计行为有关：黑客利用编号为CVE-2017-1000353的漏洞直接感染了Jenkins服务器，通过安装门罗币脚本的方式获得了约300万美元的非法收益。

二、黑客的攻击行为分析

1、CVE-2017-1000353漏洞

此前，黑客利用的是编号为CVE-2017-1000353的漏洞，也就是Jenkins远程代码执行漏洞，攻击者使用该漏洞可以在被攻击的服务器上执行任意代码，而且，漏洞的利用不需要被赋予任何权限。

2、CVE-2013-2618漏洞

而在此次的攻击行为中，黑客则利用了Cacti工具的CVE-2013-2618漏洞，Cacti是一款基于PHP的开元网络监视和图形工具，是在Network Weathermap插件中负责可视化网络活动的插件。

据悉，黑客利用该漏洞成功的获得了底层服务器上的代码执行能力，也就是获取了管理员权限，之后便在这些服务器上远程安装了一个合法的且经过专门定制处理的XMRig门罗币挖矿软件。

除此之外，黑客还修改了本地cron作业，使之做到每三分钟触发一次“watchd0g”Bash脚本，通过该脚本即可实现对门罗币挖矿软件的或带动状态随时进行检查，确保其处于活动状态，然后在XMRig进程停止时重新启动它。

前文笔者已经提到过，通过这样一个简单的操作，黑客组织直接获利将近75000美元，而由于Cacti系统设计的初衷只是为了运行和密切关注内部网络，因此非专业人士很难轻易发现自己的Linux服务器被人埋进了挖矿脚本、做了不法分子的嫁衣。

据悉，由于攻击者此次的攻击行为是针对Linux服务器的，因此可以看到所有受到感染的服务器运行的都是Linux系统，而绝大部分的受害者都在日本、中国大陆、中国台湾和美国。