Close Menu
    DevStackTipsDevStackTips
    • Home
    • News & Updates
      1. Tech & Work
      2. View All

      CodeSOD: A Unique Way to Primary Key

      July 22, 2025

      BrowserStack launches Figma plugin for detecting accessibility issues in design phase

      July 22, 2025

      Parasoft brings agentic AI to service virtualization in latest release

      July 22, 2025

      Node.js vs. Python for Backend: 7 Reasons C-Level Leaders Choose Node.js Talent

      July 21, 2025

      The best CRM software with email marketing in 2025: Expert tested and reviewed

      July 22, 2025

      This multi-port car charger can power 4 gadgets at once – and it’s surprisingly cheap

      July 22, 2025

      I’m a wearables editor and here are the 7 Pixel Watch 4 rumors I’m most curious about

      July 22, 2025

      8 ways I quickly leveled up my Linux skills – and you can too

      July 22, 2025
    • Development
      1. Algorithms & Data Structures
      2. Artificial Intelligence
      3. Back-End Development
      4. Databases
      5. Front-End Development
      6. Libraries & Frameworks
      7. Machine Learning
      8. Security
      9. Software Engineering
      10. Tools & IDEs
      11. Web Design
      12. Web Development
      13. Web Security
      14. Programming Languages
        • PHP
        • JavaScript
      Featured

      The Intersection of Agile and Accessibility – A Series on Designing for Everyone

      July 22, 2025
      Recent

      The Intersection of Agile and Accessibility – A Series on Designing for Everyone

      July 22, 2025

      Zero Trust & Cybersecurity Mesh: Your Org’s Survival Guide

      July 22, 2025

      Execute Ping Commands and Get Back Structured Data in PHP

      July 22, 2025
    • Operating Systems
      1. Windows
      2. Linux
      3. macOS
      Featured

      A Tomb Raider composer has been jailed — His legacy overshadowed by $75k+ in loan fraud

      July 22, 2025
      Recent

      A Tomb Raider composer has been jailed — His legacy overshadowed by $75k+ in loan fraud

      July 22, 2025

      “I don’t think I changed his mind” — NVIDIA CEO comments on H20 AI GPU sales resuming in China following a meeting with President Trump

      July 22, 2025

      Galaxy Z Fold 7 review: Six years later — Samsung finally cracks the foldable code

      July 22, 2025
    • Learning Resources
      • Books
      • Cheatsheets
      • Tutorials & Guides
    Home»Operating Systems»Linux»La cybergang Outlaw scatena attacchi globali contro server GNU/Linux

    La cybergang Outlaw scatena attacchi globali contro server GNU/Linux

    May 11, 2025
    La cybergang Outlaw scatena attacchi globali contro server GNU/Linux

    Un noto gruppo di criminali informatici denominato Outlaw, noto anche come Dota, ha intensificato i suoi attacchi ai server GNU/Linux in una campagna globale. Il gruppo ha sfruttato password SSH deboli o predefinite per accedere ai server, dove installare malware e utilizza i sistemi per il mining di criptovalute.

    Gli attacchi sono stati confermati in diversi Paesi, tra cui Stati Uniti, Germania, Italia, Brasile, Canada, Thailandia e Taiwan.

    Sfrutta le password SSH deboli

    Il metodo principale del gruppo è quello di accedere tramite SSH ai server GNU/Linux, le cui password sono deboli o non sono mai state modificate rispetto alle impostazioni predefinite. Particolarmente vulnerabili sono gli account amministrativi come “suporte” (supporto), che spesso si trovano in ambienti preconfigurati.

    Dopo l’accesso, viene aggiunta una chiave SSH non autorizzata per l’utente “mdrfckr”, consentendo all’aggressore di accedere permanentemente al sistema senza dover immettere nuovamente una password.

    Installazione di botnet

    Una volta ottenuto l’accesso, viene installato uno script Perl che scarica e decomprime un archivio denominato dota.tar.gz. Questo codice è inserito in una cartella nascosta denominata .configrc5 , dove si trovano i file eseguibili come init0 e b/run

    Il malware è intenzionalmente offuscato per evitare di essere rilevato e dispone di meccanismi per sopravvivere ai riavvii. La comunicazione avviene tramite IRC, che consente il controllo remoto del sistema, tra le altre cose, per attacchi DDoS, ulteriore diffusione e download di altri file dannosi.

    Mining di criptovalute con XMRig

    Uno degli obiettivi principali degli attacchi è utilizzare le risorse dei server per estrarre Monero (XMR), una criptovaluta anonima. Gli aggressori utilizzano una versione modificata dell’exploit XMRig (un software open source progettato per il mining di criptovalute), mascherandosi da processo di sistema kswapd0. Ciò consente al programma di funzionare in background senza destare sospetti.

    Il risultato è spesso un impatto significativo sulle prestazioni. Molti amministratori di sistema non si accorgono dell’attacco finché il sistema non diventa lento o instabile.

    Misure di protezione

    Per ridurre il rischio di questo tipo di intrusione, gli amministratori di server GNU/Linux dovrebbero adottare le seguenti misure:

    • Disattivare l’accesso SSH basato su password e utilizzare l’autenticazione basata su chiave.
    • Limitare l’accesso SSH a specifici indirizzi IP e valutare l’utilizzo di una porta non standard.
    • Monitorare le risorse di sistema per rilevare un utilizzo insolitamente elevato della CPU o processi sconosciuti.
    • Installare regolarmente gli aggiornamenti di sicurezza sia per il sistema operativo che per il kernel Linux.

    In sostanza, applicare le pratiche standard per la gestione di un server online!

    Riepilogo

    L’attacco del gruppo di criminali informatici Outlaw dimostra chiaramente che anche i server GNU/Linux, spesso considerati più sicuri di altri sistemi, sono vulnerabili se non configurati e monitorati correttamente. Sfruttando le vulnerabilità della sicurezza, gli aggressori possono usare i server come strumenti per ottenere guadagni finanziari e portare avanti ulteriori attacchi senza essere scoperti.

    Un server sicuro necessita di procedure efficaci, una strategia di sicurezza proattiva e un monitoraggio costante. Senza queste misure, aumenta significativamente il rischio che l’infrastruttura venga compromessa e sfruttata da gruppi criminali come Outlaw.

    Fonte: https://cyptd.com/global-attacks-targeting-linux/
    Fonte: https://securelist.com/outlaw-botnet/116444/
    Fonte: https://www.linux.se/outlaw-hackergrupp-riktar-in-sig-pa-linux-servrar-varlden-over/

    Source: Read More

    Facebook Twitter Reddit Email Copy Link
    Previous ArticleCVE-2025-4533 – JeecgBoot Document Library Upload Remote Resource Consumption Vulnerability
    Next Article Le notizie minori del mondo GNU/Linux e dintorni della settimana nr 19/2025

    Related Posts

    News & Updates

    A Tomb Raider composer has been jailed — His legacy overshadowed by $75k+ in loan fraud

    July 22, 2025
    News & Updates

    “I don’t think I changed his mind” — NVIDIA CEO comments on H20 AI GPU sales resuming in China following a meeting with President Trump

    July 22, 2025
    Leave A Reply Cancel Reply

    For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

    Continue Reading

    CVE-2025-3859 – Focus URL Truncation Vulnerability

    Common Vulnerabilities and Exposures (CVEs)

    Building AI-Powered Applications Using the Plan → Files → Code Workflow in TinyDev

    Machine Learning

    VS meldt actief misbruik van beveiligingslek in AI-software Langflow

    Security

    CVE-2025-32706 – Windows Common Log File System Driver Local Privilege Escalation Vulnerability

    Common Vulnerabilities and Exposures (CVEs)

    Highlights

    CVE-2025-4334 – WordPress Simple User Registration Privilege Escalation Vulnerability

    June 26, 2025

    CVE ID : CVE-2025-4334

    Published : June 26, 2025, 2:15 a.m. | 3 hours, 44 minutes ago

    Description : The Simple User Registration plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 6.3. This is due to insufficient restrictions on user meta values that can be supplied during registration. This makes it possible for unauthenticated attackers to register as an administrator.

    Severity: 9.8 | CRITICAL

    Visit the link for more details, such as CVSS details, affected products, timeline, and more…

    CVE-2025-48467 – Apache HTTP Server Remote Reboot DoS Vulnerability

    June 24, 2025

    BSD Release: FreeBSD 14.3

    June 9, 2025

    CVE-2025-48883 – Chrome CSS Selector XSS

    May 30, 2025
    © DevStackTips 2025. All rights reserved.
    • Contact
    • Privacy Policy

    Type above and press Enter to search. Press Esc to cancel.