主要攻击者:TeamTNT黑客组织
TeamTNT是一个活跃的恶意黑客群体,自2019年以来专注于非法加密货币挖掘及相关攻击活动,曾针对Linux系统、Redis服务器、Docker容器及Kubernetes集群实施入侵。2024年,该组织再次发起针对CentOS操作系统的专项攻击,尤其瞄准运行CentOS 7(已停止官方支持)的虚拟专用服务器(VPS)实例。
攻击流程与核心动作
- 初始入侵:SSH暴力破解
攻击者通过反复尝试常见用户名/密码组合,成功突破目标服务器的SSH认证(如获取root账户密码),建立初始访问通道。
- 权限巩固:部署恶意脚本
入侵后,攻击者上传预先编写的恶意脚本,执行以下关键操作:
- 关闭系统防御机制(禁用SELinux、AppArmor、防火墙);
- 清除痕迹(删除syslog文件夹、修改系统目录权限、擦除命令历史);
- 终止竞争进程(杀死其他加密货币矿工进程、移除关联Docker容器)。
- 持久化控制:Rootkit与后门植入
- 安装Diamorphine rootkit(Linux内核模块),实现进程隐藏、用户提权(允许普通用户通过信号触发root权限)及隐蔽通信;
- 创建具有root权限的后门账户,将其加入sudoer组,并配置SSH公钥认证,确保长期远程访问。
- 资源占用:Cryptojacking变现
利用被控CentOS服务器的计算资源,部署加密货币挖掘程序(如xmrig),将挖掘收益转移至攻击者控制的钱包地址。
关联攻击案例
除TeamTNT外,部分针对性攻击来自立陶宛的个体黑客(如2018年针对国内群呼系统的0day攻击),但此类案例多为小范围试探,未形成规模化活动。相比之下,TeamTNT的攻击更具组织性与持续性,是当前CentOS系统面临的主要外部威胁之一。