外媒 2 月 23 日消息，研究人员发现黑客组织正在对使用弱密码保护的 Linux 系统发起 SSH 暴力攻击，以部署一个名为 Chaos 的后门。据悉，该后门可能会被野外攻击者用于全球范围内 Linux 服务器。

根据 GoSecure 专家的说法，Chaos 后门其实是 “ sebd ” Linux rootkit 的组件之一，该组件早在2013 年就已被使用。

由于 Chaos 后门不依赖于任何漏洞攻击，所以 GoSecure 的研究人员认为它并不复杂。而且该后门也并不先进，因为只是管理员无法为其服务器设置强密码而已。但 Chaos 后门存在一个巧妙的优势，它在端口 8338 上打开了一个原始套接字，并在其上侦听命令。 GoSecure 的专家表示：

“ 比较好的防火墙都会阻止传入的数据包进入任何未被明确开放的端口。但是，使用原始套接字的 Chaos 却可以在运行现有合法服务的端口上被触发。”

那么要如何检查用户系统是否受到感染呢？相关专家建议以 root 身份运行 netstat –lwp 来检测。此外，由于 Chaos 不是单独出现，而是至少有一个具有远程代码执行能力的 IRC Bot，因此 GoSecure  建议受感染的主机从一个可靠的备份中重新安装，并提供一组新的凭据。

详细分析报告：

《 Chaos：被盗后门再次崛起 》

消息来源：Security Affairs，编译：榆榆，校审：FOX;

本文由 HackerNews.cc 编译整理，封面来源于 *** ；

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。