Trojan.Linux.BillGatesは通常どのような感染経路で配信されますか?
サーバーがTrojan.Linux.BillGates.Gに感染しており、DOS攻撃の開始に使用されていることを発見しました。
サーバーが可能な限り最新の状態(CentOS/Tomcat/CouchDB)に維持されているので、私は驚きます。 SSHサーバーにアクセスできるのは、公開鍵/秘密鍵のメカニズムのみです。直接ログインすることはできません。
この特定のトロイの木馬は最近 getting widespread のようです。私はそれについていくつかの記事を見つけましたが、トロイの木馬が通常提供される脆弱性を介して明確に説明できるものはありませんでした。たとえば、 別のトロイの木馬は常に悪意のあるパッケージに組み込まれているようです 。
質問:Trojan.Linux.BillGatesがよく使用されることが知られている感染経路は何ですか?
したがって、主な感染方法がSSHブルートフォースを使用してシステムにアクセスすることによって行われることを示すように見えるいくつかのリソースを見つけました:
A Avastアンチウイルス調査 :
感染は、ルートユーザーのSSHログイン資格情報をブルートフォースにしようとする試みから始まります。成功すると、攻撃者は侵入先のマシンにアクセスし、通常はシェルスクリプトを介してこのトロイの木馬をインストールします。
A Akamai reasearch :
XORボットネットのように、このマルウェアはアジア起源であると考えられています。攻撃者は同じ方法を使用して感染しています。これは主にルートログイン資格情報に対するSSHブルートフォース試行です(以前は報告されていました)その感染方法には、ElasticSearch Java VM)の脆弱性が含まれます。