所有攻擊都是在中國網絡安全公司VulnSpy在ExploitDB上發布了針對ThinkPHP的概念驗證漏洞之后開始的，這是一個在免費代碼托管利用方面很流行的網站。

根據搜索引擎Shodan的統計，目前有超過45,800臺服務器運行基于ThinkPHP的Web應用程序，可以在線訪問。其中，超過40,000個托管在中文IP地址上。這是有道理的，因為ThinkPHP的文檔僅提供中文版本，并且很可能不在國外使用。

“他們在PHP上非常高調，”Anubhav告訴我們。“他們主要是尋找網絡服務器，而不是物聯網設備。”

但是在利用ThinkPHP漏洞的所有團隊中，最大的一個是他們稱之為D3c3mb3r的網絡攻擊小組。該小組并不特別關注ThinkPHP網站，而是掃描PHP的所有內容。

“到目前為止，我們看到掃描ThinkPHP安裝的唯一主機來自中國或俄羅斯，”Mursch在咨詢了大多數這些掃描的起源數據后告訴ZDNet。

“我不確定他們的動機，”Ankit Anubhav說。

概念驗證代碼利用框架的invokeFunction方法中的漏洞，在底層服務器上執行惡意代碼。該漏洞是可遠程利用的，因為基于Web的應用程序中的大多數漏洞往往如此，并且能使得攻擊者攫取對服務器的控制。

此外，NewSky Security公司還檢測到第四個攻擊小組掃描了基于ThinkPHP的站點，并嘗試運行Microsoft Powershell的命令。

其他四家安全公司，F5Labs，GreyNoise，NewSky Security和Trend Micro也報告了類似的掃描監測結果，這些結果在接下來的幾天內都在增強。

這也解釋了為什么大多數尋找ThinkPHP網站的攻擊者大多也是中國人。

NewSky Security公司的首席安全研究員Ankit Anubhav告訴ZDNet，“嘗試運行Powershell的這個攻擊小組很奇怪。”“他們實際上有一些代碼可以檢查操作系統類型，并為Linux運行不同的漏洞代碼，但他們也運行Powershell只是為了試試運氣。”

一天之內，網絡攻擊就開始了

但是你不需要成為中國人來利用中文軟件中的漏洞。隨著越來越多的威脅組織將了解這種侵入Web服務器的新方法，對中國網站的攻擊將會加劇。

“PoC于12月11日發布，我們在不到24小時后就看到了互聯網范圍內的掃描監測結果，免備案主機，”Bad Packets LLC的聯合創始人Troy Mursch對ZDNet表示。

但是現在這個小組并沒有做任何特別的事情。他們不會感染使用加密貨幣礦工或任何惡意軟件的服務器。他們只是掃描易受攻擊的主機，運行一個基本的“echo hello d3c3mb3r”命令，就是這樣。

據外媒ZDNet了解，超過4.5萬個中國網站受到了試圖進入網絡服務器的不法分子的攻擊。

利用新的ThinkPHP漏洞，VPS租用 國內服務器，發起威脅的小組數量也在增加。現在已經掌握了初始攻擊者的信息，被一個安全專家命名為“D3c3mb3r”的組織，以及一個使用ThinkPHP漏洞感染Miori IoT惡意軟件服務器的組織。

Trend Micro公司檢測到的最后一組監測信息也表明，ThinkPHP框架可能已被用于構建一些家用路由器和物聯網設備的控制面板，因為Miori無法在實際的Linux服務器上正常運行。

這些攻擊針對的是使用ThinkPHP構建的網站，ThinkPHP是一個中國制造的PHP框架，在本地Web開發領域非常受歡迎。

45,000多個易受攻擊的主機