波及40000多台主机一个PHPbug引发的网络攻击

2019-01-05 17:29

波及40000多台主机一个PHPbug引发的网络攻击



  据外媒ZDNet了解,超过4.5万个中国网站受到了试图进入网络服务器的不法分子的攻击。

  这些攻击针对的是使用ThinkPHP构建的网站,ThinkPHP是一个中国制造的PHP框架,在本地Web开发领域非常受欢迎。

  所有攻击都是在中国网络安全公司VulnSpy在ExploitDB上发布了针对ThinkPHP的概念验证漏洞之后开始的,这是一个在免费代码托管利用方面很流行的网站。

  概念验证代码利用框架的invokeFunction方法中的漏洞,在底层服务器上执行恶意代码。该漏洞是可远程利用的,因为基于Web的应用程序中的大多数漏洞往往如此,并且能使得攻击者攫取对服务器的控制。

波及40000多台主机一个PHPbug引发的网络攻击

  “PoC于12月11日发布,我们在不到24小时后就看到了互联网范围内的扫描监测结果,”Bad Packets LLC的联合创始人Troy Mursch对ZDNet表示。

  其他四家安全公司,F5Labs,GreyNoise,NewSky Security和Trend Micro也报告了类似的扫描监测结果,这些结果在接下来的几天内都在增强。

  利用新的ThinkPHP漏洞,发起威胁的小组数量也在增加。现在已经掌握了初始攻击者的信息,被一个安全专家命名为“D3c3mb3r”的组织,以及一个使用ThinkPHP漏洞感染Miori IoT恶意软件服务器的组织。

  Trend Micro公司检测到的最后一组监测信息也表明,ThinkPHP框架可能已被用于构建一些家用路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常运行。

  NewSky Security公司的首席安全研究员Ankit Anubhav告诉ZDNet,“尝试运行Powershell的这个攻击小组很奇怪。”“他们实际上有一些代码可以检查操作系统类型,并为Linux运行不同的漏洞代码,但他们也运行Powershell只是为了试试运气。”

波及40000多台主机一个PHPbug引发的网络攻击

  但是在利用ThinkPHP漏洞的所有团队中,最大的一个是他们称之为D3c3mb3r的网络攻击小组。该小组并不特别关注ThinkPHP网站,而是扫描PHP的所有内容。

  “他们在PHP上非常高调,”Anubhav告诉我们。“他们主要是寻找网络服务器,而不是物联网设备。”

  但是现在这个小组并没有做任何特别的事情。他们不会感染使用加密货币矿工或任何恶意软件的服务器。他们只是扫描易受攻击的主机,运行一个基本的“echo hello d3c3mb3r”命令,就是这样。

  根据搜索引擎Shodan的统计,目前有超过45,800台服务器运行基于ThinkPHP的Web应用程序,可以在线个托管在中文IP地址上。这是有道理的,因为ThinkPHP的文档仅提供中文版本,并且很可能不在国外使用。

  “到目前为止,我们看到扫描ThinkPHP安装的唯一主机来自中国或俄罗斯,”Mursch在咨询了大多数这些扫描的起源数据后告诉ZDNet。

  但是你不需要成为中国人来利用中文软件中的漏洞。随着越来越多的威胁组织将了解这种侵入Web服务器的新方法,对中国网站的攻击将会加剧。

  关注中国IDC圈官方微信:idc-quan我们将定期推送IDC产业最新资讯

  据悉,DoS攻击又称拒绝服务攻击,所谓拒绝服务攻击是一种网络攻击,在这种攻击中,黑客试图通过暂时或无限期地中断连接到互联网的主机的服务,使机器或网络资源无法面向用

  通过实施零信任系统和政策,数据中心可以开始实现安全性和灵活性的好处,同时为不可避免的模式转变做好准备。

  最近一份会议记录曝光,长39页,披露了会议的一些内容。许多与会者认为,针对无人驾驶汽车发起大规模网络攻击的情况肯定会出现,这点没有疑问,问题在于什么时候出现;所以

  层出不穷的网络安全事件让数据安全问题再次凸显,各国正在技术和法律层面积极提出对策以维护数据安全,5月25日,欧盟正式颁布实施了史上最严的数据保护条例GDPR,全球兴起

  随着云计算、大数据、AI等技术的兴起,网络攻击呈现无边界化的发展态势,尤其是针对IOT等新兴事物发起的攻击频次愈发增多。对于个人来讲,平时接触最多而且可能遭受攻击的