Боты Xanthe проникают на Linux через плохо настроенные Docker API

Татьяна Никитина 03 Декабря 2020 - 08:53

...

Боты Xanthe проникают на Linux через плохо настроенные Docker API

Обнаружен новый Linux-ботнет, построенный на серверах Docker. Анализ показал, что лежащий в его основе вредонос с кодовым именем Xanthe распространяется в основном через Docker API, которые из-за неправильной конфигурации оказались доступны из интернета и плохо защищены.

По данным Cisco Talos, новоявленный ботнет активен уже больше полугода. В настоящее время он используется для добычи Monero за счет чужих мощностей и с этой целью загружает на серверы вариант криптомайнера XMRig.

Скриптовый зловред, на котором основан Xanthe, имеет модульную структуру. Основной компонент xanthe.sh, название которого эксперты используют для идентификации бот-сети, загружается с помощью скрипта pop.sh. После запуска xanthe.sh скачивает еще четыре модуля, в том числе XMRig с конфигурационным файлом в формате JSON.

Остальные вспомогательные модули выполняют защитные функции:

libprocesshider.so скрывает процессы бота;
шелл-скрипт xesa.txt отключает сторонние майнеры и службы безопасности;
шелл-скрипт fczyo завершает процессы Docker-контейнеров конкурирующих троянских программ и создает новых пользователей sysall, system, logger и autoupdater, чтобы обеспечить возможность выполнения команд с привилегиями администратора.

Основной скрипт Xanthe также отвечает за распространение инфекции на другие компьютеры в локальных и удаленных сетях. С этой целью он ослабляет защиту SSH-демона и крадет сертификаты на стороне клиента, чтобы с их помощью авторизоваться на удаленных хостах и запустить команду на загрузку своей копии.

Поиск через Shodan, проведенный исследователями, выявил более 6 тыс. уязвимых серверов Docker — в основном в США, Китае, Ирландии, Японии и Южной Корее. К сожалению, выбрать правильные настройки для Docker API не так уж просто, и соответствующий демон зачастую оказывается открытым для злоупотреблений. Хакеры прекрасно это знают и не упускают случая воспользоваться такой возможностью. В частности, Docker-серверы часто избирает мишенью криминальная группа TeamTNT.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Июня 2026 - 16:43

Домашние пользователи Корпорации Персональный VPN Анонимайзеры Mozilla

В Firefox VPN убрали лимит трафика до конца лета

Mozilla решила устроить пользователям Firefox небольшие летние каникулы без ограничений по трафику. Корпорация объявила, что до 31 августа снимает лимит трафика для встроенного VPN-сервиса Firefox VPN. Обычно пользователи получают 50 ГБ в месяц, для большинства задач этого хватает.

Но на ближайшие почти три месяца счётчик отключают полностью: качай, стримь и путешествуй по интернету без оглядки на лимиты.

Заодно Mozilla расширила список доступных локаций до 28 стран. В него вошли Австралия, Бельгия, Дания, Финляндия, Сингапур и ряд других государств.

Представители интернет-гиганта объясняют решение просто: летом люди чаще путешествуют, подключаются к публичным сетям Wi-Fi в аэропортах, гостиницах и кафе, а значит, нуждаются в дополнительной защите трафика.

VPN позволяет не только шифровать соединение, но и получать доступ к привычным сервисам из других стран. Кроме того, пользователи Firefox могут отключать VPN для отдельных сайтов, если те работают с ним некорректно.

Впрочем, есть нюанс. Безлимитный режим — акция временная. Уже с 1 сентября ограничения вернутся, и пользователи снова получат стандартные 50 ГБ в месяц.

Есть и ещё одно ограничение. Firefox VPN доступен далеко не во всех странах мира. Mozilla отдельно напоминает, что сервис работает только в поддерживаемых регионах, список которых опубликован на сайте компании.

На фоне постоянных разговоров о блокировках, ограничениях и борьбе с VPN новость выглядит почти необычно. Пока одни сервисы режут доступ и вводят лимиты, Mozilla делает ровно наоборот.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!