云服务器上的安全技术应该有助于防止和阻止恶意软件的安装，但是当攻击者想出如何卸载安全技术作为黑客活动的一部分时会发生什么呢？

根据美国帕洛阿尔托网络公司第42号安全研究部门1月17日发布的报告，这正是洛克黑客集团在中国所做的。Palo Alto报告说Rocke正在积极使用服务器并获得管理权限。在拥有完全管理员权限的情况下，黑客会卸载安全软件，转而安装未经授权的加密货币挖掘软件。

Palo Alto报告称，Rocke可以从运行Linux的云服务器上卸载五种不同的云安全保护和监控产品。受影响的云安全产品包括腾讯云和阿里云的云工作负载保护平台(CWPP)产品。

Rocke团队正在利用多个应用程序中存在的已知漏洞来访问服务器。Rocke攻击的应用漏洞包括Apache Struts 2、Oracle WebLogic和Adobe ColdFusion，这些都有已知的漏洞。Struts尤其是一个主动的目标应用，未打补丁的Struts服务器是2017年报道的大规模Equifax数据泄露的核心。

“在这些攻击中，攻击者可以获得系统的根控制，因此不需要操作系统/内核漏洞来解决这些攻击，”帕洛阿尔托网络公司第42单元威胁情报副总裁瑞安奥尔森说。告诉eWEEK。CryptojackingRocke攻击者决定在他们接管的服务器上安装加密货币挖掘软件的事实是相对随机的。奥尔森指出，通过管理访问权限，攻击者可以滥用这一权利采取其他行动。

加密货币挖掘使用服务器资源来生成或“挖掘”货币，然后攻击者可以将其用于任何他们选择的目的。未经授权的加密货币挖掘的挑战有时被称为“加密劫持”，它是2017年和2018年攻击者的一大趋势。帕洛阿尔托的42号机组在过去发现了其他加密劫持活动，包括在2018年10月使用闪存更新作为部署恶意软件的机制。基本原因

奥尔森认为，从阿里巴巴和腾讯云卸载CWPP软件并不是厂商平台的漏洞或漏洞。“恶意软件滥用合法的管理员权限来卸载应用程序，”奥尔森说。“从应用程序的角度来看，没有什么不好的事情发生——关键是管理员权限被滥用了。”

目前还不完全清楚Rocke Group可以通过其卸载活动攻击多少台服务器，因为奥尔森表示帕洛阿尔托目前没有这些数据。帕洛阿尔托已经向腾讯云和阿里云报告了这个问题，因此他们可以采取措施阻止发起攻击的域名。保卫Rockolson提供了一些简单的建议，以帮助那些担心Rocke及其卸载程序活动的组织。他说，组织可以做两件事：确保操作系统和应用程序完全打补丁。

确保应用程序尽可能按照最小特权原则运行。