原文链接: https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652070725&idx=3&sn=0ed096ca126a498dcb6caff13372e355

【安全圈】黑客利用 Apache HTTP 服务器漏洞，部署 Linuxsys 加密货币挖矿程序

安全圈 2025-07-19 11:01

关键词

漏洞

1️⃣ Linuxsys 隐秘挖矿再现，利用 Apache 漏洞展开攻击

近期，“VulnCheck”发布报告揭示：攻击者正利用已知 Apache HTTP Server 2.4.49 中的路径遍历漏洞（CVE‑2021‑41773, CVSS 7.5）传播名为 Linuxsys 的加密货币挖矿程序。

• 感染链揭秘
  ：源自印度尼西亚 IP 

103.193.177.152

，攻击者利用 cURL 或 wget，从 

repositorylinux[.]org

下载 shell 脚本，后续又从多处被入侵的正规站点获取 Linuxsys 挖矿文件。

• 隐蔽传播机制
  ：通过合法站点中 HTTPS（有效 SSL 证书）的信任链隐藏下载来源，同时 cron 脚本确保挖矿程序重启自启动。

• 多漏洞联合利用
  ：攻击者还曾借助 GeoServer、Confluence、Metabase、Palo Alto 等产品中的 n‑day 漏洞传播 Linuxsys，显示其基于长期采用已知漏洞，分布式传播的作战风格。

2️⃣ GhostContainer Exchange 后门曝光：APT 攻入邮件核心

同时，Kaspersky GReAT
 团队披露在亚洲地区多家政府与高科技机构中检测到 Exchange Server 后门 GhostContainer
，疑似利用已修补漏洞 CVE‑2020‑0688（CVE score 8.8）部署。

• 隐蔽模式运行
  ：后门以 DLL 形式注入 Exchange Server，伪装为正常组件，执行 shellcode、文件操作、.NET 模块下载、网络代理与隧道功能。

• 控制方式极隐秘
  ：GhostContainer 不主动联接 C2，而是监听通过 Exchange Web 请求中的隐藏数据，隐藏其存在，避免被普通 IDS/网络检测捕捉。

• APT 背景显现
  ：此次攻击针对亚洲特定目标，展现攻击者精于使用公开代码构建高级持久后门（APT），具有长期渗透与横向活动能力。

🔐 防御建议：构筑深度网络防护体系

防护层面	建议措施
漏洞修补	Apache 升级至 ≥2.4.51；立即安装 Exchange CVE‑2020‑0688 修复补丁。
访问隔离	强制网络分段，确保服务器不直接面向 Internet；禁用不必要模块（如 mod_cgi）。
日志监控	启用 IDS/WAF 机制，监控异常 HTTP/HTTPS 请求、shell 脚本、cron 文件增量。
行为审计	部署 EDR/UEBA，识别挖矿、横向移动、命令注入特征及隐藏 DLL 文件活动。
安全训练	员工培训识别钓鱼攻击、及时更新系统补丁，提升安全意识与应急能力。

✅ 结束语

Linuxsys 与 GhostContainer 是两条完全不同但隐蔽性都极强的攻击链：

• 一条利用服务器端漏洞植入持续挖矿隐患；

• 一条潜伏于 Exchange 核心，实现 APT 渗透与持续控制。

此次案例再次提醒所有组织：零信任+补丁管理+行为监控
是有效抵御此类高级威胁的核心策略。如果你需定制化检测规则或演练服务，欢迎后台联系支持沟通。

END  

阅读推荐

【安全圈】制造业安全警报：为何必须彻底废除默认密码？

【安全圈】美政府用的“Signal 替代品”TeleMessage SGNL 爆出严重漏洞，堆内存泄露已被黑客利用

【安全圈】230万次下载面临威胁：LaRecipe漏洞可能让服务器被完全接管

【安全圈】英国Co-op超市证实650万会员数据遭窃，四名黑客落网

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！