聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
黑客们正在利用 SSH 暴力攻击接管受弱密码保护的 Linux 系统并且部署名为“Chaos”的后门。
Chaos 后门出现于去年6月份。GoSecure 公司最近发布报告详细说明了该后门的情况。
GoSecure 公司的安全专家表示,Chaos 后门实际上并非新事物,而是在2013年使用规模有限的“sebd” Linux 后门的一个组件,之后成为 HackForums 上可免费下载的工具。
目前似乎有人从 sebd 后门的源代码中提取了这个后门并将其重命名为“Chaos”。Chaos 目前用作针对 Linux 服务器攻击的第一阶段 payload。
GoSecure 公司的安全专家发现,黑客通过 Chaos 释放了一个僵尸,将被攻陷的 Linux 服务器融合到由 IRC 协议控制的一个僵尸网络中。
Chaos 后门本身并没有那么高阶,它也并未利用任何新漏洞。Linux 专家兼 ZDnet 记者 Steven J. Vaughan-Nichols 在本周早些时候首先指出,Chaos 后门实际上并未依赖于任何利用,仅仅是未设置强密码的服务器管理员的愚蠢产物。
Chaos 运营模式中唯一有意思的部分在于,它打开了端口8338上的一个原始套接字,从而监听命令。
专家指出,“所有防火墙都会拦截进入未明确开放操作端口的包。然而,由于 Chaos 使用的是一个原始的套接字,因此这个后门可在运行现有合法服务的端口上被触发。”
除了能够让 Chaos 在端口运行外,这个原始套接字伎俩还能确保服务器管理员在运行基本的 netstat-w 检查时,后门的进程不会出现。
GoSecure 建议称,“由于 Chaos 并非单独出现,而是至少和具有远程代码执行能力的一个 IRC 僵尸现身,因此我们建议从具有全新凭证的受信任备份中完全卸载受感染主机。”
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/linux/psa-improperly-secured-linux-servers-targeted-with-chaos-backdoor/s