返回 登录
0

黑客如何转卖面向Internet的Linux服务器

原文链接Huthos VPS Provider: Totally legit, 1000% not a criminal organization.

本文来自Andrew Morris的博客文章,他这样介绍自己:我致力于发现安全漏洞并入侵计算机网络,并以跟踪坏人为生。现实生活中,我喜欢玩音乐等。可以通过邮箱联系:andrew@morris.guru。

这篇文章是他如何发现黑客入侵问题,并抓住黑客的,很有意思,特摘译出来分享给各位:

缘起

我最近看到黑客试图攻击和破坏我其中一个面向Internet的Linux服务器,从而卖给一些不知情的合法用户。

前文

去年,我创建了一个叫Animus的系统,概括地说,这是一个智能化的系统,发现并举报一些互联网非法人员的所作所为,并免费发布数据,目前,该系统已发现超过10000名攻击者的IP,确定了数百个恶意软件的command and control(C2)服务器,截获了无数的恶意软件样本和黑客工具,并观察到对网站服务仍有数以千计的攻击。

如果你想获得Animus的更多信息或它是如何工作的,请看下我在Shmoocon 2015 上的演讲,点击这里查看。

突破口

日前,Animus报告一个坏家伙攻击了我的传感器,并试图下载和安装一个后门。这与我以往看到成千上万的攻击有着很大的不同。

黑客通过蛮力获取访问我的传感器:通过SSH我为其配置了一个用户名和密钥。这个黑客万万没想到我已经记录了他一切行为。

下面是他在我服务器上执行命令的记录,点击这里查看文章中的视频。

如果你不喜欢这个家伙缓慢地粘贴命令至一个Linux服务上,这是他执行命令的全文:

http://img.my.csdn.net/uploads/201504/13/1428883469_4663.jpg

攻击IP地址为:

http://img.my.csdn.net/uploads/201504/13/1428883597_8442.jpg

这是来自于新加坡的IP地址,我是通过 ShoDan 查询,点击这里查看结果。

继续解开这个恶人的衣服。^_^

分析

一旦这个攻击者登录,她会从下面这个 URL 下载一个 shell 脚本并试图执行它:

http://img.my.csdn.net/uploads/201504/13/1428883895_1885.jpg

我上传 shell 脚本镜像至 Pastebin ,基本上这个 shell 脚本会修改受害者服务的某些配置,卸载介个包、安装一些Dropbear SSH 服务器和一个BadVPN peer-to-peer VPN后门,安装Webmin,执行一些硬化任务,然后重启服务器。

我不相信这个组织有多大的危害性,因为我看到来自该IP(49.213.23.171)只进行了一次攻击。

http://img.my.csdn.net/uploads/201504/13/1428884305_8091.jpg

然后,又引出了另外一个问题……

wtf是Huthos?

http://img.my.csdn.net/uploads/201504/13/1428884436_3253.png

查看大图请点击这里

原来huthos.com是一家云服务提供商,我的意思是,他们攻入互联网上的设备并出售不知情的客户。我滴个神,他们还伪装成一个合法的Indonesian VPS 和 VPN 供应商,也是醉了。。。

由于这一做法是非安全的,我花了几分钟时间设法找到了网站所有者的真实姓名、地址、Facebook、Google+账号、YouTube频道。(我就不贴到这里了,你懂的!这不是我的本意。)

攻击小贴士

如果你打算做一些搓事,那么你需要采取一些措施来保护自己。这是一切的前提,不然我会追杀你,并破坏你的生活。

我总结了几大忌(fuckups):

  • 不要在honeypots执行操作。(在一切开始前多做观察)
  • 实现一切自动化操作前,请先想出一套方法来识别出和避免honeypots
  • 不要在组织/公司的网站上托管恶意软件
  • 托管恶意软件的任何地方,千万别链入你的身份信息
  • 看在上帝的份上,请为你的服务器加锁
  • 不要在你的恶意软件上嵌入你的 Facebook 账户

防御小贴士

  • 前端的管理界面请上锁
  • 如果你使用 SSH ,禁用密钥认证和设置 SSH 密钥
  • 如果你不能使用SSH 密钥,就使用复杂的密钥
  • 根据我今天的分享,检查你的服务器
  • 检查日志:流量、攻击者IP的地址

希望你通过阅读我的这篇文章学到了一些东西。这样温暖我的心,让我在抓坏人的艰辛道路上走得更远。

与此同时,如果有Indonesia 或者新加坡(Singapore)的CERT 执法者请给我发邮件(andrew@morris.guru)。

点击这里查看HackerNews上的评论。

——————————————————————

极客头条正式开通了微信公众号,刊选每日精华内容和最新的资讯文章。

在微信搜索“csdn_geek”或扫描下方的二维码。

如果你热爱分享或者有什么建议,请加小编微信qshuguang2008(备注姓名+公司,否则不通过)把你拉进极客头条微信交流群。

http://img.my.csdn.net/uploads/201504/09/1428549628_6721.jpg

评论