Поделиться
Исследователи Juniper и Qihoo 360 обнаружили новую тип хакерской атаки — злоумышленники ищут в интернете серверы с установленным CWP. Затем, используя старую уязвимость, устанавливают на них бэкдор и руткит.
Как происходит взлом?
Хакеры взламывают Control Web Panel — так раньше называлась CentOS Web Panel. Многие веб-хостинговые компании и крупный бизнес используют этот инструмент для хостинга и управления масштабной серверной инфраструктурой.
Далее злоумышленники используют эксплоит для старой уязвимости и через него «пробираются» в панель администрирования. Через неё они устанавливает бэкдор Facefish. С его помощью они собирают информацию об устройстве, а также выполняют произвольные команды и крадут SSH-данные с инфицированного хоста.
Что ещё известно о серии взломов?
С начала атаки было обнаружено множество заражённых устройств. Но несмотря на это, на них нет практически никакой посторонней активности. По мнению специалистов Jupiter, это связано с тем, что хакеры пытались создать ботнет.
Таким образом, заражённые устройства планировалось использовать для продажи доступа к ним и их мощностям.
Как защититься?
В Juniper и Qihoo 360 не стали сообщать CVE-идентификатор уязвимости. Вместо этого они создали свои эксплоиты, которые всем желающим предлагается проанализировать и настроить в своих межсетевых экранах соответствующие политики для защиты от возможных кибератак, сообщает SecurityLab.
Источник: SecurityLab
Источник: