通过一个新的PHP框架bug 中文网站遭受了一周的攻击

2019-01-09 14:15

通过一个新的PHP框架bug 中文网站遭受了一周的攻击



  这些攻击针对的是使用ThinkPHP构建的网站,ThinkPHP是一个中国制造的PHP框架,在本地Web开发领域非常受欢迎。

  所有攻击都是在中国网络安全公司VulnSpy在ExploitDB上发布了针对ThinkPHP的概念验证漏洞之后开始的,这是一个流行用于托管免费漏洞利用代码的网站。

通过一个新的PHP框架bug 中文网站遭受了一周的攻击

  概念验证代码利用框架的invokeFunction方法中的漏洞在底层服务器上执行恶意代码。该漏洞是可远程利用的,因为基于Web的应用程序中的大多数漏洞往往是,并且可以允许攻击者获得对服务器的控制。

  其他四家安全公司--F5Labs,GreyNoise,NewSky Security和趋势科技- 也报告了类似的扫描,这些扫描在接下来的几天内都在增强。

  利用新的ThinkPHP漏洞的有组织威胁组的数量也在增长。现在有最初的攻击者,另一个安全专家名为“D3c3mb3r”的组织,以及一个使用ThinkPHP漏洞感染Miori IoT恶意软件服务器的组织。

  趋势科技检测到的最后一组也表明,ThinkPHP框架可能已被用于构建一些家用路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常运行。

  NewSky Security的首席安全研究员Ankit Anubhav告诉ZDNet,“Powershell的一个很奇怪。”“他们实际上有一些代码可以检查操作系统类型,并为Linux运行不同的漏洞代码,但他们也运行Powershell只是为了试试运气。”

  但是利用这个ThinkPHP漏洞的所有团队中最大的一个是他们称之为D3c3mb3r的组。该小组并不特别关注ThinkPHP网站。该组扫描PHP的所有内容。

  “他们在PHP上非常响亮,”Anubhav告诉我们。“主要是寻找网络服务器而不是物联网设备。”

  但是现在这个小组并没有做任何特别的事情。它们不会感染使用加密货币矿工或任何恶意软件的服务器。他们只是扫描易受攻击的主机,运行一个基本的“echo hello d3c3mb3r”命令,就是这样。

  根据Shodan搜索,目前有超过45,800台服务器运行基于ThinkPHP的Web应用程序,可在线个托管在中文IP地址上,这是有道理的,因为ThinkPHP的文档仅提供中文版本,并且很可能不在国外使用。

  “到目前为止,我们看到扫描ThinkPHP安装的唯一主机来自中国或俄罗斯,”Mursch在咨询了大多数这些扫描的起源数据后告诉ZDNet。

  但是你不需要成为中国人来利用中文软件中的漏洞。随着越来越多的威胁组织将了解这种侵入Web服务器的新方法,对中国网站的攻击将会加剧。