その↑2件を先に読んで頂ければ以下の情報をもっと理解が出来ると考えています。
下記のIPアドレスからLinux/Mayhemマルウェアの感染動きを発見、wordpressのサイトが狙われています。
wordpressの安全性が低いパスワードを狙いbruteで攻撃され、クラッキングされるとPHPマルウェアインストーラーファイルをサーバーにアップロードされてしまいます。その後、別のIPからアップロードされたPHPインストーラーファイルを実行されてしまい、ELFと.shマルウェアインストーラーが実行されてしまいます。
マルウェアがインストールされたらマルウェアコントロールセンター(documents-live .com)にPOST HTTP/1.0のリクエストを送信されてしまい、感染されたダイレクトリーに暗号化されたマルウェアドライブ.sd0が保存されています。そして感染されたサーバがボットネットになり、リモートから他のサーバに次の感染攻撃を行う可能性が出ます。もっと詳しい情報はこちら(英文研究内容)。
攻撃元IPアドレスは下記となります、念の為にブロックして下さい↓
31.184,192.171 46.118,114.205 46.118,119.63
下記、参考として、発見した時の情報↓
#ALERT! #ELF #Mayhem attacking #wordpress!
From:46.118,119.63(UA), CNC:176.119.3.244(UA).
Rpt https://t.co/s3ncjkIV2g pic.twitter.com/rN7d976Tro
— MalwareMustDie, NPO (@MalwareMustDie) 2015, 6月 18#Mayhem attacker on injecting #wordpress in progress captured log (pic)
#MalwareMustDie pic.twitter.com/C0iAt0Jfy8
— MalwareMustDie, NPO (@MalwareMustDie) 2015, 6月 19#Mayhem #Ukraine attacker's panel IP: 31.184,192.171 ←#BLOCK NOW
Pic:remote execution infection log. #MalwareMustDie! pic.twitter.com/TbPZKsoJqB
— MalwareMustDie, NPO (@MalwareMustDie) 2015, 6月 19Only 7 of 57 AVproducts can detect Mayhem PGP installer.
+ @EmergingThreats detect its traffic good!
#MalwareMustDie! pic.twitter.com/2SFVG7zGbk
— MalwareMustDie, NPO (@MalwareMustDie) 2015, 6月 18前回の事件と同じパターンで、海外への攻撃が出た後、日本国内サービスに恐らく同じ攻撃が来ると思います、サーバーセキュリティ管理者の方はご注意をお願い致します。
0 件のコメント:
コメントを投稿