Атаки на Linux-серверы через SSH: злоумышленники устанавливают прокси-инструменты

information security

Эксперты AhnLab Security Intelligence Center (ASEC) опубликовали данные мониторинга атак на Linux-серверы, которые подвергаются взлому из-за слабой защиты SSH. Злоумышленники используют уязвимости в управлении серверами, устанавливая прокси-серверы TinyProxy и Sing-box, чтобы превратить зараженные системы в узлы для скрытого трафика, DDoS-атак или монетизации доступа.

Описание

Одной из главных проблем остается использование слабых паролей для SSH-доступа, что делает серверы легкой добычей для автоматизированных атак. ASEC выявил несколько случаев, когда после успешного взлома злоумышленники загружали и запускали вредоносные Bash-скрипты, устанавливающие прокси-серверы.

В одном из сценариев злоумышленники загружали скрипт s.sh, который автоматически устанавливал TinyProxy через менеджеры пакетов apt, yum или dnf в зависимости от дистрибутива. После этого конфигурационный файл /etc/tinyproxy/tinyproxy.conf изменялся: удалялись правила контроля доступа (Allow и Deny), а вместо них добавлялась строка Allow 0.0.0.0/0, что открывало прокси-сервер для всех IP-адресов. Это позволяло злоумышленникам свободно использовать порт 8888 для перенаправления трафика через зараженный сервер.

В другом случае атакующие устанавливали Sing-box - инструмент, поддерживающий протоколы vmess-argo, vless-reality, Hysteria2 и TUICv5, предназначенный для обхода географических ограничений (например, доступа к ChatGPT или Netflix). Хотя исходный код проекта открыт, злоумышленники использовали его в корыстных целях, устанавливая прокси на взломанные серверы без ведома владельцев. Загрузка происходила через GitHub-репозиторий, а для запуска использовался скрипт ssh_tool.sh, позволяющий быстро развернуть прокси-сервер.

Установка прокси-серверов на взломанные Linux-серверы позволяет злоумышленникам:

  1. Скрывать свою активность при проведении других атак.
  2. Продавать доступ к прокси-узлам на теневых форумах.
  3. Использовать зараженные серверы для организации ботнетов или DDoS-атак.

Кроме того, легитимные инструменты, такие как TinyProxy и Sing-box, усложняют обнаружение вредоносной активности, так как они не определяются традиционными антивирусами как угрозы.

Анализ ASEC показывает, что атаки на Linux-серверы становятся все более изощренными, а злоумышленники активно используют легальные инструменты для достижения своих целей. Без должной защиты серверы рискуют стать частью глобальной инфраструктуры киберпреступников.

Индикаторы компрометации

URLs

  • https://0x0.st/8VDs.sh
  • https://raw.githubusercontent.com/eooce/sing-box/main/sing-box.sh

MD5

  • 16d1dfa35d64046128290393512171ce
  • 35d79027834a3b6270455f59b54f2e19
Комментарии: 0