黑客攻擊服務器以開採加密貨幣

根據雲安全公司Wiz的研究人員的報告，黑客現在正在攻擊系統以進行加密挖掘活動。研究人員表示，黑客正在將暴露的Java調試線協議（JDWP）接口進行武器化，以獲得損害系統上的代碼執行功能。

根據該報告，在獲得代碼執行功能後，黑客在其受損的主機的系統上部署了加密礦工。研究人員說：“攻擊者使用用硬編碼的配置使用了修改版的XMRIG版本，使他們避免了後衛經常標記的可疑命令行參數。”他們補充說，有效載荷使用採礦池代理來掩蓋攻擊者的加密錢包，從而阻止了調查人員trac它。

黑客武器將暴露的JDWP武器進行採礦活動

研究人員觀察到了對運行Teamcity的Honeypot服務器的活動，這是一種流行的連續集成和連續交付（CI/CD）工具。 JDWP是Java中用於調試的通信協議。使用該協議，調試器可用於處理不同的進程，同一計算機上的Java應用程序或遠程計算機。

但是，由於JDWP缺乏訪問控制機制，因此將其暴露於Internet可以打開新的攻擊向量，黑客可以濫用該攻擊媒介，以便能夠完全控制運行的Java流程。爲了簡化它，可以使用錯誤配置來注入和執行任意命令，以便在持久性上設置持久性並最終運行惡意有效載荷。

研究人員說：“雖然在大多數Java應用程序中默認不啓用JDWP，但它通常用於開發和調試環境中。” “許多流行的應用程序自動maticAlly在調試模式下運行時啓動JDWP服務器，通常不會使開發人員的風險顯而易見。如果不正確地固定或放定暴露，這可以打開遠程代碼執行（RCE）漏洞的大門。”

在調試模式下，可能會啓動JDWP服務器的某些應用程序包括TeamCity，Apache Tomcat，Spring Boot，Elasticsearch，Jenkins等。 Greynoise的數據顯示，在過去的24小時內已掃描了JDWP端點的2,600多個IP地址，其中1,500個IP地址是惡意的，1,100個被歸類爲可疑。該報告提到，大多數IP地址源自香港，德國，美國，新加坡和中國。

研究人員詳細介紹瞭如何進行攻擊

在研究人員觀察到的攻擊中，黑客利用了這一事實，即Java虛擬機（JVM）在端口5005上聽取調試連接以啓動整個Internet上的JDWP端口的掃描。之後，發送了JDWP Handshake請求以確認接口是否處於活動狀態。一旦確認服務已暴露和交互式，黑客將移動執行命令以獲取，並執行一個滴管殼腳本，該腳本有望執行一系列操作。

這一系列的動作包括殺死系統上所有競爭礦工或任何高CPU流程，從外部服務器（“ Awarmcorner [。] World”）中丟棄XMRIG MINER修改版本，以“〜/.config/loogrotate”爲“〜/.config/loogrotate”），通過設置有效性的shool shall shall of thit thit early thimipie shepent ofer-rececep ecececececept，並恢復了依據。間隔，並在退出時刪除自身。

研究人員說：“作爲開源的XMRIG，XMRIG爲攻擊者提供了簡單定製的便利性，在這種情況下，這涉及刪除所有命令行解析邏輯和配置進行硬編碼。” “這種調整不僅簡化了部署，而且還允許有效載荷更具說服力地模仿原始的Loogrotate過程。”

該披露是NSFOCUS指出的，一種名爲Hpingbot的新的，基於GO的惡意軟件已針對Windows和Linux系統可以使用Hping3啓動分佈式拒絕服務（DDOS）攻擊。

2025年DeFi賺取被動收入的新方法。瞭解更多