近日,外媒报道了一起利用Weblogic服务器远程代码执行漏洞来进行的攻击事件,360互联网安全中心监测到了该攻击,并确定此次攻击是来自于之前曝光过的WannaMine挖矿家族。其实这次被利用的服务器漏洞已经于4月17日被修复,但目前仍有大量服务器未进行升级,所以这些服务器很可能成为下一批“WannaMine”的矿工。
所谓的“WannaMine”挖矿家族最早活跃于2017年9月,之前的WannaMine使用“永恒之蓝”漏洞攻击武器与“Mimikatz”凭证窃取工具来攻击服务器,并植入挖矿木马。今年3月,360互联网安全中心已经监测到“WannaMine”进行了一次全面更新,而这次发现的攻击事件,明显是WannaMine再次利用新的漏洞卷土重来。
在此次攻击中,WannaMine执行的功能基本和上个版本相同,即在服务器中植入挖矿木马,并对外网中的多个服务端等进行扫描,执行爆破或漏洞攻击,以扩大自身的规模,形成更加庞大的挖矿僵尸网络。 从360安全中心监控到的数据来看,从4月19日开始,几乎每天都有几十台服务器受影响,最多的一天有七十多台服务器受到WannaMine的攻击,而且目前来看,这次的攻击行为还在继续。 目前360安全卫士可以防护该系列木马病毒。360安全专家也在此提醒广大用户与服务器管理者,一般如“WannaMine”这类规模庞大的僵尸网络都有着极强的弱口令爆破能力,因此服务器应当避免使用弱口令;同时,管理者应及时为操作系统和相关服务打补丁,避免僵尸网络利用漏洞攻击武器进行攻击,定期维护服务器,可以从CPU使用率、执行任务可疑项等方面检查持续驻留的挖矿木马;最好及时安装安全软件,对个人电脑、服务器进行实时防护,避免沦为“挖矿工”。
|