Casa > cibernético Notícias > Malicious Bash Script Downloads Cryptominer on Linux Hosts
CYBER NEWS

Malicioso Bash Script downloads Cryptominer em Hosts Linux

pesquisadores Sucuri apenas relatou que alguém entrou em contato com eles sobre “um processo malicioso que tinham descoberto em execução no seu servidor web”. O processo em questão era bastante pesado na CPU, apontando para um processo cryptominer execução em segundo plano.




Durante sua análise, os pesquisadores foram capazes de determinar que o cryptominer foi baixado através de um script Bash conhecido como cr2.sh, que é descartado no servidor de uma forma desconhecida.

O que acontece depois que o arquivo festa é executado? Ela é definida como processos de matar de uma lista de nomes de processo que está relacionado com o cryptomining, tal como xmrig e cryptonight, entre outros.

Em seguida, ele verifica para ver se o processo malicioso já está em execução e envia uma solicitação para um arquivo PHP hospedado em um servidor separado. Este arquivo gera o endereço de IP que agarra o real conteúdo executado cryptominer pelo processo malicioso.

Mais sobre o roteiro cr2.sh festa

O script cr2.sh também precisa determinar se o ambiente do sistema operacional é 32- ou 64-bit, a fim de baixar a carga cryptomining. Para isso, utiliza o ondulação ou wget comando como / tmp / php, enquanto arquivo de configuração do mineiro é descarregado a partir do mesmo servidor, os pesquisadores explicaram.

O script já baixados para o servidor web de todo o conteúdo necessário para ir adiante e gerar o processo usando nohup, que permite que o processo continue funcionando independentemente se o usuário termina a sessão do bash.

Em sua próxima fase, o processo mineiro agora carregado na memória do host Linux vai apagar a carga, bem como seu arquivo de configuração. Isto é feito para proteger e ocultar a sua presença.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/linux-subsystem-windows-10-bashware/”] Linux Subsystem no Windows 10 Torna vulnerável a Bashware

O malware também é capaz de alcançar a persistência através da criação de um trabalho cron que é definido para ser executado a cada minuto. além do que, além do mais, ele irá verificar para o script do cr2.sh Bash, e se o script está faltando, ele vai re-download e executá-lo mais uma vez:

Apenas no caso de alguém detecta o processo e mata-lo junto com o arquivo cr2.sh inicial, o arquivo cria um cronjob (a menos que já existe). Este cron está programado para ser executado a cada minuto, re-baixar o arquivo cr2.sh se ele estiver ausente, e executar o script bash malicioso.

Note-se que não só os servidores web são direcionados por este ataque, mas também instalações de desktop de 32/64 bits sistemas Linux, e outras variantes, implantado para infectar as instalações do Windows.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...