月曜日, 6月 22, 2015

【警告】新規Linux/Mayhemマルウェアの感染

下記のIPアドレスからLinux/Mayhemマルウェアの感染動きを発見、wordpressのサイトが狙われています。
wordpressの安全性が低いパスワードを狙いbruteで攻撃され、クラッキングされるとPHPマルウェアインストーラーファイルをサーバーにアップロードされてしまいます。その後、別のIPからアップロードされたPHPインストーラーファイルを実行されてしまい、ELFと.shマルウェアインストーラーが実行されてしまいます。

マルウェアがインストールされたらマルウェアコントロールセンター(documents-live .com)にPOST HTTP/1.0のリクエストを送信されてしまい、感染されたダイレクトリーに暗号化されたマルウェアドライブ.sd0が保存されています。そして感染されたサーバがボットネットになり、リモートから他のサーバに次の感染攻撃を行う可能性が出ます。もっと詳しい情報はこちら(英文研究内容)

攻撃元IPアドレスは下記となります、念の為にブロックして下さい↓
31.184,192.171
46.118,114.205
46.118,119.63 

下記、参考として、発見した時の情報↓









前回の事件
と同じパターンで、海外への攻撃が出た後、日本国内サービスに恐らく同じ攻撃が来ると思います、サーバーセキュリティ管理者の方はご注意をお願い致します。

0 件のコメント:

コメントを投稿