Fate un check della cartella /usr/local/games, potreste essere tra i fortunati portatori di un cryptominer per Linux!

Raoul Scarazzini
6

È stata recentemente scoperta una nuova, fantastica, minaccia per Linux creata mediante SHC (Shell Script Compiler). Questo malware downloader si occupa appunto di scaricare sul sistema attaccato (in cui viene fatto un “banale” brute-forcing della password di root) software di cryptomining e DDoS, facendo diventare il computer infetto un bot al servizio di questa rete criminale (a quanto pare Coreana).

Come racconta BleepingComputer, questo SHC è in grado di convertire dei semplici script bash in eseguibili Linux (e UNIX) ELF, per via di questa peculiarità, e del fatto che questi vengono codificati con un algoritmo specifico (RC4), la minaccia è piuttosto difficile da scovare per i software di protezione.

Altra particolarità di questo software è che una volta eseguito si preoccupa di scaricare numerosissimi altri componenti che provvede ad inserire nel sistema nella cartella /usr/local/games, con contenuti derivati da dei file .tar, vedi l’esempio riportato sul blog post:

Pertanto un buon metodo per capire se il problema vi affligge è osservare all’interno di quella cartella per contenuti anomali. Tanto per esse chiari: server di produzione quella cartella dovrebbero averla vuota, poiché non dovrebbero essere previsti giochi in quei contesti ma… Mai dire mai.

Ora, è bene ricordare come il principio base su cui l’attacco è basato sia quello del brute-forcing, pertanto le vittime preferite da questo sistema sono server esposti in internet con accesso SSH come root consentito mediante password (che per giunta è qualcosa tipo password123).

Quindi se state pensando “eh ma se è così allora se la sono cercata” non vi si può certo dar torto, fermo restando però il fatto che a venire attaccato da questa botnet potrebbe essere il vostro sistema, pertanto è sempre bene diffondere le notizie di questo tipo, fosse solo anche per forzare la gente a considerare un giro di cambio password.

Male di certo non farà.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, ,

6 risposte a “Fate un check della cartella /usr/local/games, potreste essere tra i fortunati portatori di un cryptominer per Linux!”

  1. Avatar JustATiredMan
    JustATiredMan

    Beh… tutto può essere, ma dubito fortemente ci siano server sshd esposti su internet in porta 22 e password… o no ?

  2. Avatar JaK
    JaK

    Abbiamo sistemi sensibili che utilizzano vnc senza preoccuparsi di essere su VPN. Nel 2016 lessi questo articolo e mi vennero i capelli dritti.

    Considera anche solo tutte le Raspberry Pi connesse a sistemi casalinghi o a impianti industriali o di automazione. E forse anche le moderne stampanti di rete che abbiamo negli uffici montano una distro GNU/Linux compatta.

    Ormai i server non sono più solo il server di posta o il server web.

  3. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Primo link a caso: Over 60% of Organizations Expose SSH to the Internet

  4. Avatar Guglielmo Cancelli
    Guglielmo Cancelli

    C’è anche chi usa l’RDP di microsoft in server di produzione e tutto in chiaro

  5. Avatar JustATiredMan
    JustATiredMan

    no ok, ma dubito che alla stampante gli dai un ip pubblico su internet… poi per carità, al mondo c’è di tutto.

  6. Avatar JustATiredMan
    JustATiredMan

    Ok, ma l’articolo dice che il 64% espone il servizio ssh ma non dice come. Che lo sia ci può stare, anche se è meglio di no, ma almeno non lo si lasci proprio sulla porta 22 e di usarlo solo con accesso a chiave privata.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2904) Saturday's Talks (45)

Tag cloud

ai (42) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (66) Google (85) IBM (49) Intel (54) KDE (35) Kernel (218) Kubernetes (88) Linux (672) LinuxFoundation (31) LTS (32) Malware (53) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (45) RHEL (36) SaturdaysTalks (44) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (78) Ubuntu (167) Vulnerabilità (54) Windows (80)