第121期安全事件

英文標題	RubyMiner Monero Cryptominer affected 30% of networks worldwide in just 24h
中文標題	RubyMiner Monero Cryptominer 僅在 24 小時內就影響了全球 30％的網絡
作者及單位	Pierluigi Paganini; SecurityAffairs
內容概述	RubyMiner 上周首次被發現是在全球范圍內針對網絡服務器進行的大規?；顒樱渲写蟛糠质窃诿绹⒌聡?、英國、挪威和瑞典。 專家們認為，攻擊的幕后主使是一個單獨的攻擊者，就在一天之內，他試圖對全球近三分之一的網絡進行破壞。該惡意軟件 針對 Windows 和 Linux 服務器，試圖利用 PHP，Microsoft IIS 和 Ruby on Rails 中的舊漏洞來部署 Monero 礦工。 攻擊者在 POST 請求內發送一個 base64 編碼的有效載荷，企圖誘騙解釋器執行它。 惡意負載是一個 bash 腳本，它添加一個每小時運行一次的 cronjob，并下載一個包含 shell 腳本的 robots.txt 文件，用于獲取并 執行 cryptominer。調度程序被告知運行整個過程，包括每小時從服務器下載文件。 專家認為，robots.txt 文件也可以用作 RubyMiner 的 kill 開關，修改受感染的 web 服務器上的 robots.txt 文件，可以停用惡意軟件。
新聞鏈接	http://securityaffairs.co/wordpress/67865/malware/rubyminer-monero-cryptominer.html