class="topic_img" alt=""/>
华盛顿大学的安全研究员 Andre' DiMino 注意到了多个 IP 地址试图利用一个已修复 PHP 漏洞劫持 Linux 服务器,他很好奇攻击者如何成功控制一台 Linux 服务器,因此设立了一个蜜罐,运行旧版本的 PHP,让攻击者劫持,进行观察。
DiMino 发现,攻击者确实非常狡猾,发出了包含多个指令的 HTTP POST 请求,下载一个伪装成 PDF 文件的 Perl 脚本,执行之后删除。为了确保成功,攻击者使用 curl、fetch、lwp-get 请求重复上述步骤。Perl 脚本编程休眠一段时间,猜测可能是避开管理员的耳目。最终被感染的机器连上一个中继聊天频道,下载执行另一个脚本。攻击者在服务器上安装了多个应用,包括比特币和素数币挖矿程序,DDoS 工具,扫描其它存在已知漏洞的机器。随着 Linux 服务器的流行,它和 Windows PC 一样成为攻击者眼中极具吸引力的目标。
相关文章
