据外媒ZDNet了解,超过4.5万个中国网站受到了试图进入网络服务器的不法分子的攻击。
这些攻击针对的是使用ThinkPHP构建的网站,ThinkPHP是一个中国制造的PHP框架,在本地Web开发领域非常受欢迎。
所有攻击都是在中国网络安全公司VulnSpy在ExploitDB上发布了针对ThinkPHP的概念验证漏洞之后开始的,这是一个在免费代码托管利用方面很流行的网站。
概念验证代码利用框架的invokeFunction方法中的漏洞,在底层服务器上执行恶意代码。该漏洞是可远程利用的,因为基于Web的应用程序中的大多数漏洞往往如此,并且能使得攻击者攫取对服务器的控制。
一天之内,网络攻击就开始了
“PoC于12月11日发布,我们在不到24小时后就看到了互联网范围内的扫描监测结果,”Bad Packets LLC的联合创始人Troy Mursch对ZDNet表示。
其他四家安全公司,F5Labs,GreyNoise,NewSky Security和Trend Micro也报告了类似的扫描监测结果,这些结果在接下来的几天内都在增强。
利用新的ThinkPHP漏洞,发起威胁的小组数量也在增加。现在已经掌握了初始攻击者的信息,被一个安全专家命名为“D3c3mb3r”的组织,以及一个使用ThinkPHP漏洞感染Miori IoT恶意软件服务器的组织。
Trend Micro公司检测到的最后一组监测信息也表明,ThinkPHP框架可能已被用于构建一些家用路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常运行。
此外,NewSky Security公司还检测到第四个攻击小组扫描了基于ThinkPHP的站点,并尝试运行Microsoft Powershell的命令。
NewSky Security公司的首席安全研究员Ankit Anubhav告诉ZDNet,“尝试运行Powershell的这个攻击小组很奇怪。”“他们实际上有一些代码可以检查操作系统类型,并为Linux运行不同的漏洞代码,但他们也运行Powershell只是为了试试运气。”
但是在利用ThinkPHP漏洞的所有团队中,大的一个是他们称之为D3c3mb3r的网络攻击小组。该小组并不特别关注ThinkPHP网站,而是扫描PHP的所有内容。
“他们在PHP上非常高调,”Anubhav告诉我们。“他们主要是寻找网络服务器,而不是物联网设备。”
但是现在这个小组并没有做任何特别的事情。他们不会感染使用加密货币矿工或任何恶意软件的服务器。他们只是扫描易受攻击的主机,运行一个基本的“echo hello d3c3mb3r”命令,就是这样。
“我不确定他们的动机,”Ankit Anubhav说。
45,000多个易受攻击的主机
根据搜索引擎Shodan的统计,目前有超过45,800台服务器运行基于ThinkPHP的Web应用程序,可以在线访问。其中,超过40,000个托管在中文IP地址上。这是有道理的,因为ThinkPHP的文档仅提供中文版本,并且很可能不在国外使用。
这也解释了为什么大多数寻找ThinkPHP网站的攻击者大多也是中国人。
“到目前为止,我们看到扫描ThinkPHP安装的唯一主机来自中国或俄罗斯,”Mursch在咨询了大多数这些扫描的起源数据后告诉ZDNet。
但是你不需要成为中国人来利用中文软件中的漏洞。随着越来越多的威胁组织将了解这种侵入Web服务器的新方法,对中国网站的攻击将会加剧。
相关阅读: