- A+
思科系统公司的专家在扫描存在JBOSS后门时发现了300多万个在互联网上暴露的易受攻击的服务器。 根据思科系统公司的说法,互联网上暴露的300多万台服务器可能会对基于萨摩姆勒索软件的攻击开放,因为它们正在运行易受攻击的软件。
攻击者瞄准服务器中的漏洞来传播勒索软件,思科IR服务团队的专家发现,黑客正在使用JBoss作为感染的载体。
“我们开始深入研究用作妥协起点的JBoss向量。 最初,我们开始扫描互联网上的易受攻击的机器。 这导致我们大约有320万台有风险的机器。“思科研究人员在一篇博文中写道。
专家们通过扫描已经受到损害的机器开始调查。
网络扫描活动使研究人员能够发现属于学校,政府,航空公司和其他类型组织的大约2100台受感染的服务器。 黑客安装了webshell以维持对受感染系统的控制。
一些受到破坏的系统正在运行Follett“Destiny”软件,这是一个许多学校图书馆常用的管理系统,用于跟踪书籍。
思科向Follett Learning报告了该问题,开发了该软件,该公司解决了该漏洞。 更新后的Destiny软件能够扫描机器是否有感染迹象,并删除攻击者安装的任何后门程序。
CISCO的专家提供了一系列建议,以从受感染的服务器中删除webshell。
“我们的第一个建议,如果可能的话,是删除对服务器的外部访问。 这将阻止攻击者远程访问服务器。 理想情况下,您还需要重新映像系统并安装软件的更新版本。 这是确保攻击者无法访问服务器的最佳方式。“CISCO发布的博客文章指出。 “如果由于某种原因你无法完全重建,那么下一个最好的选择是在妥协之前从备份恢复,然后将服务器升级到非易受攻击的版本,然后再将其恢复到生产状态。”
出处:http://securityaffairs.co/
