Спросили ChatGPT как настроить сервер? Хакеры тоже — и теперь взламывают 50 тысяч систем за раз, потому что у всех один пароль
NewsMakerВзломанные ПК сканируют 23 000 TRON-кошельков и опустошают всё подряд — Binance Smart Chain следующий в очереди.
Исследователи зафиксировали новую волну атак ботнета GoBruteforcer, нацеленных на серверы криптовалютных и блокчейн-проектов. Под ударом оказываются открытые в интернет базы данных и панели управления, которые, как предполагается, были настроены по примерам, сгенерированным ИИ.
GoBruteforcer, или сокращённо GoBrut, — это ботнет на языке Go, который специализируется на подборе паролей к публично доступным сервисам. В числе его обычных целей — FTP, MySQL , PostgreSQL и phpMyAdmin . Для распространения он использует уже взломанные Linux-серверы, с которых сканирует случайные IP-адреса и запускает атаки перебора учётных данных.
По оценке Check Point, в интернете сейчас может находиться более 50 тысяч серверов, потенциально уязвимых для таких атак. Часто начальной точкой взлома становятся FTP-сервисы в составе XAMPP. Во многих случаях они остаются с настройками по умолчанию и слабыми паролями, если администратор не прошёл полную процедуру усиления безопасности.
Если злоумышленнику удаётся войти в FTP под стандартной учётной записью вроде daemon или nobody, следующим шагом обычно становится загрузка веб-шелла в каталог сайта. Аналогичный результат можно получить и через неправильно настроенные MySQL-серверы или панели phpMyAdmin. После этого цепочка заражения продолжается: на сервер загружается загрузчик, затем IRC-бот и, наконец, модуль перебора паролей.
Исследователи зафиксировали новую волну атак ботнета GoBruteforcer, нацеленных на серверы криптовалютных и блокчейн-проектов. Под ударом оказываются открытые в интернет базы данных и панели управления, которые, как предполагается, были настроены по примерам, сгенерированным ИИ.
GoBruteforcer, или сокращённо GoBrut, — это ботнет на языке Go, который специализируется на подборе паролей к публично доступным сервисам. В числе его обычных целей — FTP, MySQL , PostgreSQL и phpMyAdmin . Для распространения он использует уже взломанные Linux-серверы, с которых сканирует случайные IP-адреса и запускает атаки перебора учётных данных.
По оценке Check Point, в интернете сейчас может находиться более 50 тысяч серверов, потенциально уязвимых для таких атак. Часто начальной точкой взлома становятся FTP-сервисы в составе XAMPP. Во многих случаях они остаются с настройками по умолчанию и слабыми паролями, если администратор не прошёл полную процедуру усиления безопасности.
Если злоумышленнику удаётся войти в FTP под стандартной учётной записью вроде daemon или nobody, следующим шагом обычно становится загрузка веб-шелла в каталог сайта. Аналогичный результат можно получить и через неправильно настроенные MySQL-серверы или панели phpMyAdmin. После этого цепочка заражения продолжается: на сервер загружается загрузчик, затем IRC-бот и, наконец, модуль перебора паролей.