Майнер RubyMiner атаковал серверы с Linux

Хотя Linux и славится своей исключительной надежностью, всегда остается место человеческому фактору. Из-за нерасторопных сисадминов Linux некоторые серверы имеют старые и незакрытые уязвимости.

Одна из таких дыр, описанная еще в 2013 году, стала причиной распространения майнера RubyMiner в 2018 году. Хакеры сканируют адресное пространство с помощью замечательной утилиты p0f — пассивный сканер версий ПО — и если дырявый софт присутствует, то на компьютер удаленно устанавливается зловредная программа, которая добывает криптовалюту. Уязвимы Ruby on Rails и PHP. Справедливости ради стоит отметить, что с той же целью эксплуатируется дыра и в печально известном Microsoft IIS на серверах с Windows.

Исследователям удалось установить, что майнится Monero. Удалось даже вычислить адрес кошелька и подсчитать улов каккеров. С 700 серверов удалось заработать $500, что, по правде говоря, не впечатляет. Прибыль других хакерских группировок, использующих свежие эксплоиты, составляет сотни тысяч долларов в месяц.

Дружок, админишь сервер? Установи монитор активности, который будет уведомлять на email если уровень загрузки CPU будет аномальным — Nagios, Cacti или хотя бы Monit. Не панацея, но лучше, чем ничего.