月曜日, 6月 22, 2015

【警告】新規Linux/Mayhemマルウェアの感染

先ずはMayhemボットネットを発見した時にここで書きましたので、なお、本攻撃の情報(Wordpress経由)はここで書きました
その↑2件を先に読んで頂ければ以下の情報をもっと理解が出来ると考えています。
下記のIPアドレスからLinux/Mayhemマルウェアの感染動きを発見、wordpressのサイトが狙われています。
wordpressの安全性が低いパスワードを狙いbruteで攻撃され、クラッキングされるとPHPマルウェアインストーラーファイルをサーバーにアップロードされてしまいます。その後、別のIPからアップロードされたPHPインストーラーファイルを実行されてしまい、ELFと.shマルウェアインストーラーが実行されてしまいます。

マルウェアがインストールされたらマルウェアコントロールセンター(documents-live .com)にPOST HTTP/1.0のリクエストを送信されてしまい、感染されたダイレクトリーに暗号化されたマルウェアドライブ.sd0が保存されています。そして感染されたサーバがボットネットになり、リモートから他のサーバに次の感染攻撃を行う可能性が出ます。もっと詳しい情報はこちら(英文研究内容)

攻撃元IPアドレスは下記となります、念の為にブロックして下さい↓
31.184,192.171
46.118,114.205
46.118,119.63 

下記、参考として、発見した時の情報↓









前回の事件
と同じパターンで、海外への攻撃が出た後、日本国内サービスに恐らく同じ攻撃が来ると思います、サーバーセキュリティ管理者の方はご注意をお願い致します。

0 件のコメント:

コメントを投稿