加密挖掘攻击全球目标Web服务器

感染活动针对PHP，Microsoft IIS和Ruby on Rails中的漏洞。尽管观察到了大量的折衷尝试，但是在24小时的攻击中，全世界只有700台服务器已经成功地被奴役了。

对Ruby on Rails的攻击尝试利用CVE-2013-0156，一个远程代码执行漏洞。在POST请求中传递一个base64编码的有效载荷，期望服务器上的Ruby解释器执行它。

有效载荷是一个bash脚本，用来添加一个每小时运行一次的cronjob，并下载一个包含shell脚本的robots.txt文件，该文件旨在获取并执行加密矿工，而不是在检查主机上是否已经激活之前。不仅挖掘过程，而且整个下载和执行操作每小时运行一次。

已部署的恶意软件 - 在所有受感染的服务器上 - 是XMRig，这是一款Monero矿工，于2017年9月利用Microsoft IIS 6.0（Windows Server 2003 R2中的Web服务器）中的漏洞进行攻击。

新近观察到的感染运动中使用的一个领域是lochjol.com，该领域以前曾在2013年的一次攻击中使用。该攻击也滥用了Ruby on Rails漏洞，并且还具有当前事件的一些共同特征，但研究人员无法确定两者之间的进一步联系，特别是他们的目的看似不同。