5 万服务器感染挖矿恶意程序
5 万服务器感染挖矿恶意程序
2019年05月31日 17时44分多达 5 万服务器感染了挖矿恶意程序挖掘数字货币 TurtleCoin。攻击者被认为来自中国,受害者主要来自中国、美国和印度。攻击者使用了汉语编程语言易语言编写代码,但利用伪造证书和提权等比较高级的黑客技术。安全研究人员根据攻击者使用的一个服务器文本字符串将其命名为 Nansh0u。研究人员发现,攻击者几乎每周一个的速度创建恶意程序负荷,而且创建之后立即使用。攻击者首先使用端口扫描器扫描 MS-SQL 服务器,检查端口是否开启,如果开启使用暴力工具尝试登录,成功之后开始执行代码,利用了一个 2014 年的漏洞进行提权获得系统权限。攻击者服务器上的一个文件夹名字叫“传”——大概是传染的意思。