|
|
51CTO旗下网站
|
|
移动端

新型僵尸网络目标锁定Hadoop服务器,利用“肉鸡”发动DDoS攻击

一个最新被发现的僵尸网络正在将Hadoop集群作为其感染目标,试图利用它们的计算能力发动分布式拒绝服务(DDoS)攻击。

作者:黑客视界来源:今日头条|2018-10-31 10:53

据外媒SecurityWeek报道,一个最新被发现的僵尸网络正在将Hadoop集群作为其感染目标,试图利用它们的计算能力发动分布式拒绝服务(DDoS)攻击。

Hadoop是一个由Apache基金会所开发的分布式系统基础架构,能够对大量数据进行分布式处理,通常被部署在大型的企业网络或云端运算环境中,可用于创建大数据分析的人工智能或机器学习平台。

据发现该僵尸网络的网络安全公司Radware称,这起僵尸病毒感染活动基于Hadoop YARN(Yet Another Resource Negotiator,Hadoop集群的资源管理系统)中的一个未经身份验证的远程命令执行漏洞,而该漏洞的概念验证(PoC)代码早已在今年3月份发布。

需要说明的是,由于这种被称为“DemonBot”的僵尸病毒不具备蠕虫功能,因此它只会感染中央服务器。尽管如此,目前也已经有超过70台主动攻击服务器(“肉鸡”)正在以每天超过100万次的频率攻击目标系统,并向其传播DemonBot僵尸病毒,而攻击主要集中在是美国、英国及意大利。

新型僵尸网络目标锁定Hadoop服务器,利用“肉鸡”发动DDoS攻击

在后续调查中,Radware的研究人员发现该僵尸病毒的开发者早在今年9月就已经在源代码在线分享平台PasteBin上公布了它的源代码,还发现了命令与控制(C&C)服务器的代码适用于多平台“肉鸡”的Python构建脚本。

C&C服务器提供了两种服务,一种是允许“肉鸡”注册和监听来自服务器的新命令,另一种是远程访问CLI(命令行界面),以便管理员和潜在的“客户”就可以控制整个僵尸网络。远程用户的凭证存储在纯文本文件中。

在执行时,DemonBot僵尸病毒会连接到C&C服务器(硬编码的IP和端口)并开始监听命令。默认情况下,它使用端口6982,而连接是纯文本TCP。

DemonBot僵尸病毒会向C&C服务器发送有关受感染系统的信息,包括公共IP地址、端口号(22或23,这取决于Python或Perl的可用性,以及受感染服务器是否开启了telnetd服务)、Python或Perl解释器是否可用、服务器的架构和操作系统。

攻击者可以通过向“肉鸡”发送命令来发动DDoS攻击,比如带有随机有效载荷的UDP、TCP、带有固定有效载荷的UDP,或者依次执行STD攻击、TCP攻击和UDP攻击。另外,攻击者还可以指示“肉鸡”每秒与指定的IP和端口建立TCP连接,直到攻击结束,或者完全停止攻击。

Radware解释说:“如果在参数列表中以逗号分隔的形式一次性传递多个IP,那么每个IP都会有一个单独的攻击进程。另外,攻击者还可以在攻击命令中加入<spoofit>参数,该参数作为网络掩码工作,如果<spoofit>参数设置为小于32,便可以掩盖‘肉鸡’的源IP。”

Radware最后还强调,虽然他们目前还没有找到任何能够证明DemonBot僵尸病毒正在积极瞄准物联网设备的证据,但它的目标绝不仅限于x86 Hadoop服务器,因为研究表明它同样能够在大多数已知的物联网设备上运行。

【编辑推荐】

  1. Apache和Nginx两大Web常用服务器有什么区别,你知道吗?
  2. 超全面Nginx+VSFTP搭建图片服务器
  3. 一些Windows服务器系统登录安全与NTFS技巧
  4. 使用无服务器架构的六个月里,我学到的六件事
  5. 存储芯片价格撑不住了!云服务器需求崩垮在即,存储市场迎来3年一次大逃杀
【责任编辑:武晓燕 TEL:(010)68476606】


点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月最赞

读 书 +更多

Ubuntu Linux入门到精通

本书全面介绍了Ubuntu Linux的相关知识,内容详实,论述清晰。主要内容包括Ubuntu介绍、文件系统管理、进程管理、压缩与查询系统、Shel...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊