据外媒ZDNet了解,超过4.5万个中国网站受到了试图进入网络服务器的不法分子的攻击。

这些攻击针对的是使用ThinkPHP构建的网站,ThinkPHP是一个中国制造的PHP框架,在本地Web开发领域非常受欢迎。

所有攻击都是在中国网络安全公司VulnSpy在ExploitDB上发布了针对ThinkPHP的概念验证漏洞之后开始的,这是一个在免费代码托管利用方面很流行的网站。

概念验证代码利用框架的invokeFunction方法中的漏洞,在底层服务器上执行恶意代码。该漏洞是可远程利用的,因为基于Web的应用程序中的大多数漏洞往往如此,并且能使得攻击者攫取对服务器的控制。

图片5

一天之内,网络攻击就开始了

“PoC于12月11日发布,我们在不到24小时后就看到了互联网范围内的扫描监测结果,”Bad Packets LLC的联合创始人Troy Mursch对ZDNet表示。

其他四家安全公司,F5Labs,GreyNoise,NewSky Security和Trend Micro也报告了类似的扫描监测结果,这些结果在接下来的几天内都在增强。

利用新的ThinkPHP漏洞,发起威胁的小组数量也在增加。现在已经掌握了初始攻击者的信息,被一个安全专家命名为“D3c3mb3r”的组织,以及一个使用ThinkPHP漏洞感染Miori IoT恶意软件服务器的组织。

Trend Micro公司检测到的最后一组监测信息也表明,ThinkPHP框架可能已被用于构建一些家用路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常运行。

此外,NewSky Security公司还检测到第四个攻击小组扫描了基于ThinkPHP的站点,并尝试运行Microsoft Powershell的命令。

NewSky Security公司的首席安全研究员Ankit Anubhav告诉ZDNet,“尝试运行Powershell的这个攻击小组很奇怪。”“他们实际上有一些代码可以检查操作系统类型,并为Linux运行不同的漏洞代码,但他们也运行Powershell只是为了试试运气。”

1545639950

 

 

但是在利用ThinkPHP漏洞的所有团队中,最大的一个是他们称之为D3c3mb3r的网络攻击小组。该小组并不特别关注ThinkPHP网站,而是扫描PHP的所有内容。

“他们在PHP上非常高调,”Anubhav告诉我们。“他们主要是寻找网络服务器,而不是物联网设备。”

但是现在这个小组并没有做任何特别的事情。他们不会感染使用加密货币矿工或任何恶意软件的服务器。他们只是扫描易受攻击的主机,运行一个基本的“echo hello d3c3mb3r”命令,就是这样。

“我不确定他们的动机,”Ankit Anubhav说。

45,000多个易受攻击的主机

根据搜索引擎Shodan的统计,目前有超过45,800台服务器运行基于ThinkPHP的Web应用程序,可以在线访问。其中,超过40,000个托管在中文IP地址上。这是有道理的,因为ThinkPHP的文档仅提供中文版本,并且很可能不在国外使用。

这也解释了为什么大多数寻找ThinkPHP网站的攻击者大多也是中国人。

“到目前为止,我们看到扫描ThinkPHP安装的唯一主机来自中国或俄罗斯,”Mursch在咨询了大多数这些扫描的起源数据后告诉ZDNet。

但是你不需要成为中国人来利用中文软件中的漏洞。随着越来越多的威胁组织将了解这种侵入Web服务器的新方法,对中国网站的攻击将会加剧。

相关阅读:

东湖高新区12个重大项目开工 拟投资105亿建两个数据中心

改革开放40年,他们改变了中国互联网

盘点:2018年度十大技术关键词

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-03-28 17:04:00
云资讯 云攻击增长65%,中国成第二大来源国
根据网络安全及及合规公司Proofpoint的研究报告,全球针对云应用程序的网络攻击暴增。 <详情>
2019-03-05 13:46:00
UPS电力 网络攻击威胁电力系统,IDC能幸免吗?
发电机、不间断电源和配电单元都有助于维护和控制运行数据中心的电源系统。但数据中心管理人员很少关注电源系统的网络安全控制,尽管其电源系统也很容易受到网络攻击的影响 <详情>
2019-02-19 17:03:00
云安全 报告显示:流量型攻击依旧是企业梦魇
2018年,网络安全领域暗流涌动,攻击趋势不断攀升,T级DDoS攻击多次爆发、数据泄露事件层出不穷、勒索软件大行其道。 <详情>
2019-01-25 13:14:24
云安全 境外黑客扬言2月13日前后对我国多家政府网站实施攻击
新京报快讯 据首都网警微博消息,北京网络与信息安全信息通报中心通报,近日,境外某黑客组织扬言将对我国多家政府类网站开展网络攻击,并公布了我国多家政府网站域名信息 <详情>
2019-01-22 14:46:54
云安全 2019年,我们需要加强关注网络安全的6大原因
据外媒报道,网络安全越来越重要,但一些公司仍然不愿意投入必要的资源来保护其基础设施免受网络攻击,并认为他们也不受网络犯罪分子的关注。有以下六个原因来说明关注网络 <详情>