{"id":202730,"date":"2018-03-29T02:24:07","date_gmt":"2018-03-29T00:24:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=202730"},"modified":"2022-04-05T05:39:00","modified_gmt":"2022-04-05T03:39:00","slug":"linux-server-mit-monero-miner-ber-5-jahre-alte-lcke-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/03\/29\/linux-server-mit-monero-miner-ber-5-jahre-alte-lcke-infiziert\/","title":{"rendered":"Linux Server mit Monero Miner &uuml;ber 5 Jahre alte L&uuml;cke infiziert"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Eine Hackergruppe hat eine Sicherheitsl\u00fccke genutzt, um einen Monero Miner auf Linux Servern zu installieren und Krypto-Geld zu sch\u00fcrfen. Die Sicherheitsl\u00fccke steckt im Cacti \"Network Weathermap\"-Plugin und besteht seit f\u00fcnf Jahren.<\/p>\n<p><!--more--><\/p>\n<p>Die Hacker-Gruppe hat fast 75.000 Dollar durch die Installation einer Monero-Monero-Miners erl\u00f6st. Aufgedeckt haben die die Sicherheitsforscher von Trend Micro. Experten des US-Sicherheitsunternehmens Trend Micro verf\u00fcgen, laut eigener Aussage \u00fcber Beweise, die diese Angriffe mit fr\u00fcheren Angriffen auf Jenkins-Server in Verbindung bringen. Bei diesem Angriff hatte eine Hacker-Gruppe etwa 3 Millionen Dollar f\u00fcr die Installation eines Moner Miners auf Jenkins-Installationen durch Ausnutzung der CVE-2017-1000353-Schwachstelle erzielt (siehe meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/02\/18\/achtung-jenkins-server-werden-kompromittiert\/\">Achtung: Jenkins-Server werden kompromittiert<\/a>).<\/p>\n<p>Bei einer neuen Kampagne nutzten die Angreifer die Sicherheitsl\u00fccke <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-2618\" target=\"_blank\" rel=\"noopener\">CVE-2013-2618<\/a>, die in <a href=\"https:\/\/www.cacti.net\/\" target=\"_blank\" rel=\"noopener\">Cacti<\/a> steckt. Cati vertreibt ein PHP-basiertes Open-Source-Netzwerk\u00fcberwachungs- und Grafik-Tool. In diesem Tool wird das Netzwerk-Weathermap-Plugin, das f\u00fcr die Visualisierung von Netzwerkaktivit\u00e4ten verantwortlich ist, verwendet. Und genau dieses Plugin weist die betreffende Schwachstelle auf.  <\/p>\n<p><ins><\/ins><ins><\/ins><ins><\/ins> <\/p>\n<p>Wie bei den vorherigen Angriffen nutzten Hacker die Schwachstelle aus, um die Berechtigungen zur Codeausf\u00fchrung auf den zugrundeliegenden Servern zu erlangen. Dort wurde dann eine angepasste Version von XMRig, einer legitimen Monero-Mining-Software, heruntergeladen und installiert. Die Angreifer modifizierten auch die lokalen Cron-Jobs, um alle drei Minuten ein \"watchd0g\" Bash-Skript auszul\u00f6sen. Das Skript pr\u00fcfte, ob der Monero-Miner noch aktiv war, und startete gegebenenfalls den Prozess von XMRig neu.<\/p>\n<p>Angreifer machten ungef\u00e4hr 320 XMR ($75.000) mit dieser einfachen Betriebsart. Alle infizierten Server liefen unter Linux, und die meisten der Opfer befanden sich in Japan (12%), China (10%), Taiwan (10%) und den USA (9%).<\/p>\n<p>Da Cacti-Systeme in der Regel f\u00fcr den Betrieb und die \u00dcberwachung interner Netzwerke ausgelegt sind, sollten solche Instanzen eigentlich nicht online zug\u00e4nglich sein. Allerdings ist das wohl noch nicht bei allen Administratoren angekommen. Und eine bekannte Sicherheitsl\u00fccke \u00fcber 5 Jahre nicht zu patchen (obwohl verf\u00fcgbar), ist auch keine Glanzleistung. (via)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine Hackergruppe hat eine Sicherheitsl\u00fccke genutzt, um einen Monero Miner auf Linux Servern zu installieren und Krypto-Geld zu sch\u00fcrfen. Die Sicherheitsl\u00fccke steckt im Cacti \"Network Weathermap\"-Plugin und besteht seit f\u00fcnf Jahren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426],"tags":[4305,6269,4328],"class_list":["post-202730","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","tag-linux","tag-miner","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202730","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=202730"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202730\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=202730"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=202730"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=202730"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}