黑客针对Linux SSH服务器发动攻击以部署恶意软件

黑客正在对Linux安全外壳（SSH）服务器发起攻击，其目的是安装用于端口扫描和字典攻击的工具，从而侵入其他脆弱服务器，并形成一个用于加密货币挖掘和分布式拒绝服务（DDoS）攻击的网络。

AhnLab安全紧急响应中心的研究人员对这些针对开启SSH服务或端口22的服务器的攻击活动进行了分析。他们发现，黑客通过蛮力或字典攻击获取服务器的ID和密码。

除了在感染系统中安装DDoS机器人和CoinMiners外，威胁行动者还安装执行端口扫描和蛮力或字典攻击的恶意软件。这使他们能够利用更多脆弱系统。威胁行动者还可能选择只安装扫描器，并在暗网上出售被入侵的IP和账户凭据。

AhnLab研究人员识别了在针对管理不善的Linux SSH服务器的攻击中常见的恶意软件，包括ShellBot、Tsunami、ChinaZ DDoS Bot和XMRig CoinMiner。

在最近的一次案例中，黑客在登录到激活了SSH服务的Linux服务器后，会安装额外的扫描器来识别更多脆弱系统。攻击者首先会确定受损服务器上的CPU核心数量，并获取账户凭据以便再次登录。接着，他们下载包含端口扫描器和SSH字典攻击工具的压缩文件。

研究人员在分析恶意软件时，发现黑客执行了名为"go"的Bash脚本，其参数为212。该脚本依次启动端口扫描器、横幅抓取器和SSH字典攻击工具。端口扫描器的端口号设置为22，用于SSH。

这些攻击活动的增加和演变表明，Linux服务器的安全管理变得越来越重要。系统管理员需要采取积极措施保护其SSH服务器免受此类攻击的侵害，如定期更新软件、使用复杂密码和监控可疑活动。了解和应对这类威胁对于维护网络安全的整体健康至关重要。