Linux设备沦为矿机，黑客暴力破解SSH

作者：左右里

编辑：釉子

据BitDefender安全研究人员称，他们发现了一个黑客组织正在以SSH暴力破解的方式攻击linux设备，目的是在这些设备上安装门罗币恶意挖矿软件。

SSH，一种为远程登录会话和其他网络服务提供安全性的协议。

BitDefender早在5月就针对这个组织的加密劫持活动展开调查，并发现了对方的工具包。他们在一个开放目录顺利追踪到了恶意软件，并发现其自2021年2月起被相关域名 mexalz.us托管过。

以下是当前或以前托管在mexalz.us上的文件汇总：

这个暴力破解工具包被其制作者称为“Diicot brute”，以Golang编写，以单个包开发，包含以下功能：

黑客是如何利用该工具包进行攻击的呢？

整个过程可以分为三个阶段：

• 侦察：通过端口扫描和横幅抓取识别SSH服务器。
• 凭据访问：通过暴力识别有效凭据。
• 初始访问：通过SSH连接并进行感染。

攻击者发现并进入弱SSH凭据的Linux设备后，他们会部署并执行loader从而收集系统信息，并使用HTTP POST将其转发给webhook的攻击者。黑客将在此步骤收集到的信息用于判断被攻击设备的利用价值。

攻击者的另一步操作是更改shell配置、覆写文件。

黑客通过bash禁用了几个shell命令，目的是使shell不被后来者操作。至此，黑客已成功安装门罗币恶意挖矿软件。

据悉，这个工具目前仍有效。据BitDefender称，已查明的IP地址属于一个相对较小的集合，说明本次事件的黑客组织尚未使用受攻击的系统来传播恶意软件。

那么该如何防止SSH 暴力破解呢？

1、足够复杂的密码

2、修改默认端口号

3、不允许Root账号直接登陆

4、不允许密码登陆，只能通过认证的秘钥来登陆系统

5、借助第三方工具fail2ban防御

以上方法便是防止SSH暴力破解的一些措施，可供大家参考哦～