Ondsindet Bash Script Downloads Cryptominer på Linux-værter
CYBER NEWS

Ondsindet Bash Script Downloads Cryptominer på Linux-værter

Sucuri forskere netop rapporteret, at nogen kom i kontakt med dem om ”en ondsindet proces, de havde opdaget kører på deres webserver”. Processen pågældende var ganske tungt på CPU, peger på en cryptominer proces kørende i baggrunden.




I løbet af deres analyse, forskerne var i stand til at fastslå, at cryptominer blev hentet via en Bash script kaldet cr2.sh, der tabes på serveren i en ukendt måde.

Hvad sker der efter bash filen eksekveres? Det er sat til at dræbe processer fra en liste af proces navne, som er relateret til cryptomining, såsom xmrig og cryptonight, blandt andre.

Derefter kontrollerer at se, om den skadelige proces allerede kører og sender en anmodning til en PHP fil hostet på en separat server. Denne fil udgange IP-adressen, der griber den faktiske cryptominer indhold drives af ondsindet proces.

Mere om cr2.sh bash-script

Den cr2.sh script også nødt til at afgøre, om OS miljø er 32- eller 64-bit for at downloade cryptomining nyttelast. For at gøre dette det udnytter krølle eller wget kommando som / tmp / php, mens minearbejdere konfigurationsfilen downloades fra den samme server, forskerne forklarede.

Scriptet har nu hentet til webserveren alle de nødvendige indhold til at gå videre og gyde processen ved hjælp nohup, som gør det muligt at processen fortsætter med at køre, uanset om brugeren ender deres bash-session.

I sin næste fase, minearbejder processen nu lagt i Linux værtens hukommelse sletter nyttelasten samt dens konfigurationsfil. Dette gøres for at sikre og skjule sin tilstedeværelse.

Relaterede: Linux Subsystem i Windows 10 Gør dig sårbar over for Bashware

Den malware er også i stand til at opnå vedholdenhed ved at skabe et cron job, der er indstillet til at køre hvert minut. Desuden, det vil kontrollere for den cr2.sh Bash script, og hvis der mangler scriptet, det vil re-download og udføre det igen:

Bare i tilfælde af en person registrerer processen og dræber det sammen med den oprindelige cr2.sh fil, filen skaber et cronjob (medmindre det findes allerede). Denne cron er planlagt til at køre hvert minut, re-downloade cr2.sh filen, hvis den mangler, og udføre ondsindet bash-script.

Bemærk, at ikke kun web-servere er målrettet ved dette angreb, men også desktop installationer af 32 / 64bit Linux-systemer, og andre varianter, indsat for at inficere Windows-installationer.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...