DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

高防ddos_国外高防服务器租用_秒解封

高防ddos_国外高防服务器租用_秒解封

你在使用Hadoop进行数据分析吗?如果是这样的话,就要知道一个新的bot正在瞄准Hadoop集群,目的是执行由云基础设施服务器的强大支持的DDoS攻击。Hadoop是一个开源的分布式处理框架,防御ddos系统,它为运行在集群系统中的大数据应用程序管理存储和数据处理。Radware Threat Research Center正在监视和跟踪一个恶意代理,该代理利用未经验证的Hadoop YARN远程命令执行来感染Hadoop群集,该机器人将自己标识为DemonBot。DemonBot只通过中央服务器传播,不会暴露基于Mirai的机器人表现出的类似蠕虫的行为。到今天为止,Radware正在跟踪70多个活跃的攻击服务器,这些服务器正在积极传播DemonBot,并以每天超过100万次的聚合速度利用服务器。请注意,虽然我们目前没有发现任何证据表明DemonBot正在积极瞄准IoT设备,但DemonBot并不局限于x86 Hadoop服务器,并且与大多数已知的IoT设备二进制兼容,遵循Mirai构建原则。云基础设施服务器成为目标已经不是第一次了。本月早些时候,安全研究人员AnkitAnubhav发现一个黑客利用了Sora僵尸网络变种中相同的Hadoop纱线缺陷。Hadoop集群通常是功能非常强大且稳定的平台,与物联网设备相比,它们各自可以承担更大的DDoS流量。DemonBot支持的DDoS攻击向量是UDP和TCP Flood。Hadoop纱线开发Radware Research一直在跟踪利用Hadoop纱线未经验证的远程命令执行的恶意参与者,今年3月首次在这里发布了概念证明代码。YARN是另一个资源协商者,是企业Hadoop的先决条件,它提供集群资源管理,允许多个数据处理引擎处理存储在单个平台上的数据。YARN公开了一个restapi,允许远程应用程序向集群提交新的应用程序。利用漏洞需要两个步骤:我们的欺骗网络记录了对/ws/v1/cluster/apps/new application的多次尝试,cc防御思路,从9月底开始缓慢增长到10月大部分时间每天的尝试次数超过100万次。本周,ddos防御php,发出请求的唯一IP数量从几台服务器增加到70多台。目前离线服务器的旧漏洞攻击引用了一个著名的Mirai变体Owari,由于黑客用于保护其命令和控制数据库的弱密码而臭名昭著:然而,最近,我们发现Owari被一个新的机器人取代:这个新的"bash"二进制文件是在10月21日星期日添加到服务器上的。同一个服务器还承载着我们预期来自多平台物联网恶意软件的典型shell脚本:虽然僵尸网络带有另一个Mirai僵尸网络的所有典型指标,但仔细观察一下这些二进制文件就会发现它们之间的差异足以继续调查。DemonBot v1–©Self Rep NeTiS公司对未拆分的"bash"二进制文件的反转显示了一些不熟悉的函数名和一个非典型字符串,这为僵尸网络代码提供了一个独特的指纹:通过对pastebin档案的搜索,很快发现了一个独一无二的匹配文件,该文件是9月29日由一位自称为"自我代表"的网民的演员粘贴的。这个贴子包含了一个被演员称为"DemonBot"的僵尸网络的完整源代码。通过对这些档案的进一步搜索,我们发现了Command and Control server demonnc的源代码和用于多平台机器人的Python构建脚本。DemonBot.c和DemonCNC.c都有相同的签名:恶魔DemonBot命令和控制服务是一个独立的C程序,应该运行在中央命令和控制服务器上,它提供两个服务:一个机器人命令和控制监听器服务——允许机器人注册并监听来自C2的新命令远程访问CLI允许僵尸网络管理员和潜在的"客户"控制僵尸网络的活动启动C2服务需要3个参数:bot侦听器端口、线程数和远程访问CLI的端口。远程用户的凭据存储在纯文本文件中'登录.txt'格式为"用户名密码",每个凭据对使用一行。在使用telnet连接到远程访问CLI(在我们的演示设置中为8025端口)时,僵尸网络向我们致意并要求输入用户名,然后输入密码提示。如果提供的凭据与登录.txt文件,则授予用户访问bot控制界面的权限。HELP命令显示了僵尸网络命令,这些命令将在下面关于DemonBot本身的部分中讨论。德蒙博特DemonBot是一个应该在受感染的服务器上运行的程序,它将连接到命令和控制服务器并监听新的命令。当一个新的DemonBot启动时,它连接到C2服务器,该服务器用IP和端口硬编码。如果没有为C2服务器指定端口,则使用默认端口6982。C2是纯文本连接。成功连接后,phpddos防御,DemonBot将有关受感染设备的信息以以下格式发送到C2服务器:宝塔感染DemonBot的设备或服务器的公用IP地址:港口22或23取决于设备/服务器上python或perl和telnetd的可用性:建造"Python设备"、"Perl设备"、"Telnet设备"或"未知",取决于设备服务器上Python或Perl解释器的可用性:拱门体系结构,在构建时确定,并取决于在受损平台上执行的二进制文件,Arch支持的值是:x86_64 | x86|Arm4 | Arm5 | Arm6 | Arm7 | Mipsel | Sh4(SuperH)| Ppc(PowerPC)| spac(Sparc)| M68k | Arc操作系统基于包安装程序配置文件对运行bot的主机操作系统的有限标识。值为"基于Debian的设备"、"基于REHL的设备"或"未知操作系统"恶意有效载荷bot支持以下命令:如果在参数中以逗号分隔的列表中传递了多个IP,则会为每个IP分叉一个单独的攻击过程。参数用作网络掩码。如果spoofit设置为32,则不会欺骗bot的源IP。如果欺骗设置为小于32的数字,则在bot_IP/网络中每隔数据包生成一个随机IP:STD-UDP攻击使用的固定负载:国际奥委会8805830c7d28707123f96cf458c1aa41工作台1bd637c0444328563c995d6497e2d5be tftpa89f377fcb66b88166987ae1ab82ca61不锈钢8b0b5a6ee30def363712e32b0878a7cb sh86741291adc03a7d6ff3413617db73f5 pftp3e6d58bd8f10a6320185743d6d010c4f opensshFC4A4608009CC24A757824 FF56FD8B91 ntpdd80d081c40be94937a164c791b660b1f ftpb878de32a9142c19f1fface9a8d588fb克罗恩46a255e78d6bd3e97456b98aa4ea0228 bash53F6451A939F744AB689168CC1E21A阿帕奇241edaeb0b52c5c7c835c4196d5fd7123[cpu] 阅读"IoT攻击手册-了解Mirai僵尸网络及其现代变种的物联网攻击的现场指南"以了解更多信息。立即下载

,ddos防御收费

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/50042.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6769445访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X