近日,Check Point 的安全研究人员发现了 RubyMiner 恶意软件家族,针对全球的 web 服务器发起攻击,并试图利用这些服务器挖掘门罗币。24 小时内,全球 30% 的网络都受到影响。
594400020e166bd8b2fb.jpg
上周,全球 web 服务器遭遇了一场大规模攻击,就在那时 RubyMiner 首次进入大众视野。专家认为,此次攻击背后的主要操控者只有一个人,尽在一天之内就尝试入侵了全球近三分之一的网络。 在过去的24小时内,全球 30% 的网络都遭遇了针对 web 服务器的加密货币挖矿攻击。在此期间,该攻击者试图扫描全球网络,从中找到易受攻击的 web 服务器用于挖矿。主要受影响的国家是美国、德国、英国、挪威和瑞典,但全球其他国家也未能幸免。
RubyMiner 影响范围包括 Windows 服务器也包括 Linux 服务器,主要利用 PHP、 Microsoft IIS 和 Ruby on Rails 中的漏洞来部署挖矿软件。Certego 的分析报告显示,恶意程序一直在利用 Ruby on Rails 中一个可造成远程代码执行的古老 CVE(CVE-2013-0156)漏洞。
IPS 及反僵尸网络防护
我们的 IPS 和 AB 保护已经成功地阻止了从第 0 天开始的相关攻击。我们将继续监视和研究任何额外的野外攻击。
IPS 防护: PHP php-cgi 查询字符串参数代码执行
Ruby on Rails XML 处理器 YAML 反序列化代码执行
Microsoft IIS ASP 脚本源代码泄露