Hacker chiếm quyền root Ubuntu 18.04

TL2

New Member
13/07/2020
0
2 bài viết
Hacker chiếm quyền root Ubuntu 18.04
Nội dung
  • Máy ubuntu 18.4 bị tấn công.
  • Chiếm quyền ssh.
  • Chạy process lạ chiếm hết 50% CPU của máy.
  • Truy xuất và bị tấn công từ một số địa chỉ IP lạ.
  • Địa chỉ nằm trong file script tấn coong: 69.28.55.86:443, 185.71.65.238, 140.82.52.87, 119.9.76.107.
  • Đây là các địa chỉ bị UFW chặn sau khi bị phát hiện 223.71.167.165, 185.246.87.232, 45.189.24.238, 61.136.101.84, 40.89.172.2, 5.45.65.236, 94.102.51.28
Phía dưới là folder chứa mã script và chương trình tấn công mình tìm được trong máy.
Ace giúp mình tìm hiểu nguyên nhân và cách giải quyết.

Thanks
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Script đào tiền ảo nhé bạn. Thường thì bị khai thác qua các dịch vụ như docker... máy bạn server ak bạn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: TL2
Comment
Script đào tiền ảo nhé bạn. Thường thì bị khai thác qua các dịch vụ như docker... máy bạn server ak bạn

Cảm ơn bạn.

Đúng rồi bạn, máy chạy server, Ubuntu 18.04, 20.04.

Sau tình trạng của file như trên, hiện tại mình cũng dính thêm một trường hợp có vẻ tương tự (có keywork là tracker, miner, etc.)
Nhờ bạn check kiểm tra giúp.

Như bạn nói nó có thể tấn công qua docker, tuy nhiên chỉ có 1 máy dùng docker, nhưng có máy không dùng docker mà cũng bị dính. Vậy ngoài docker ra, nó còn lây nhiễm theo đường nào khác nữa không?

Đính kèm file mới phát hiện.

Cảm ơn mọi người.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cảm ơn bạn.

Đúng rồi bạn, máy chạy server, Ubuntu 18.04, 20.04.

Sau tình trạng của file như trên, hiện tại mình cũng dính thêm một trường hợp có vẻ tương tự (có keywork là tracker, miner, etc.)
Nhờ bạn check kiểm tra giúp.

Như bạn nói nó có thể tấn công qua docker, tuy nhiên chỉ có 1 máy dùng docker, nhưng có máy không dùng docker mà cũng bị dính. Vậy ngoài docker ra, nó còn lây nhiễm theo đường nào khác nữa không?

Đính kèm file mới phát hiện.

Cảm ơn mọi người.
Ngoài docker ra thì con liferay. Mình thường giải quyết theo phương pháp: Update các phần mềm mới nhất, cấu hình firewall chỉ cho phép các cổng mình sử dụng, ngoài ra sẽ chặn tất
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên