国内部分使用旧版 IIS 的服务器变成黑客的挖矿鸡

早已经被微软公司停止支持的服务器应用IIS 6.0 版此前被国内研究人员发现存在安全漏洞但已无法得到修复。

到现在仍然在使用旧版IIS的服务器成为攻击者们的香饽饽：安装挖矿软件后用来挖掘虚拟货币ETN即以利币。

存在着各种已知安全漏洞：

由于微软公司已在2015年停止为该版 IIS 提供支持，所以越来越多被新发现的安全漏洞都不会获得更新修复。

攻击者利用这些漏洞即可非常轻易的感染 IIS 服务器， 挖矿只是最基本的至少还没窃取服务器上的私密数据。

当然在服务器上运行软件仍然不升级版本只能说是自己作死， 想要保证安全那就必须得升级 IIS 版本才可以。

攻击目标是中国和美国的服务器：

本次攻击者极可能是国内的黑产团体，其恶意软件托管的服务器使用的是首都在线公司的中国联通线路机房。

国内服务器未经实名认证是无法进行开通和使用的，当然攻击者也可能是攻击其他用户用来充当托管服务器。

攻击者利用的漏洞是 CVE-2017-7269 号漏洞，利用合法的微软程序库下载包含VBS恶意指令集的XML文档。

等成功感染 IIS 服务器后则安装开源的门罗币挖矿系列软件， 再修改其配置用来挖掘虚拟货币ETN即以利币。

攻击的主要目标则是位于中国和美国境内的IIS 6.0版服务器，这种挖矿类的感染通常会造成服务器资源飙升。

目前获利620元的以利币：

研究人员在追踪后发现目前攻击者的钱包地址ETN 余额约为620元人民币，相对来说得手金额还是比较低的。

研究人员猜测要么是攻击者不定期更换钱包地址防止追踪，要么就是目前被感染的服务器不够多资源比较少。

当然最后研究人员还是提醒用户应该立即升级软件版本，千万不要再使用已经被开发商停止支持的应用程序。

黑产团体应该也看到研究人员的报告了：

目前黑产团体已经移除托管在首都在线数据中心上的服务器数据，同时挖矿率检测工具显示挖矿也已经停止。