所有攻擊都是在中國網(wǎng)絡(luò)安全公司VulnSpy在ExploitDB上發(fā)布了針對ThinkPHP的概念驗(yàn)證漏洞之后開始的，這是一個(gè)在免費(fèi)代碼托管利用方面很流行的網(wǎng)站。

根據(jù)搜索引擎Shodan的統(tǒng)計(jì)，目前有超過45,800臺(tái)服務(wù)器運(yùn)行基于ThinkPHP的Web應(yīng)用程序，可以在線訪問。其中，超過40,000個(gè)托管在中文IP地址上。這是有道理的，因?yàn)門hinkPHP的文檔僅提供中文版本，并且很可能不在國外使用。

“他們在PHP上非常高調(diào)，”Anubhav告訴我們。“他們主要是尋找網(wǎng)絡(luò)服務(wù)器，而不是物聯(lián)網(wǎng)設(shè)備。”

但是在利用ThinkPHP漏洞的所有團(tuán)隊(duì)中，最大的一個(gè)是他們稱之為D3c3mb3r的網(wǎng)絡(luò)攻擊小組。該小組并不特別關(guān)注ThinkPHP網(wǎng)站，而是掃描PHP的所有內(nèi)容。

“到目前為止，我們看到掃描ThinkPHP安裝的唯一主機(jī)來自中國或俄羅斯，”Mursch在咨詢了大多數(shù)這些掃描的起源數(shù)據(jù)后告訴ZDNet。

“我不確定他們的動(dòng)機(jī)，”Ankit Anubhav說。

概念驗(yàn)證代碼利用框架的invokeFunction方法中的漏洞，在底層服務(wù)器上執(zhí)行惡意代碼。該漏洞是可遠(yuǎn)程利用的，因?yàn)榛赪eb的應(yīng)用程序中的大多數(shù)漏洞往往如此，并且能使得攻擊者攫取對服務(wù)器的控制。

此外，NewSky Security公司還檢測到第四個(gè)攻擊小組掃描了基于ThinkPHP的站點(diǎn)，并嘗試運(yùn)行Microsoft Powershell的命令。

其他四家安全公司，F(xiàn)5Labs，GreyNoise，NewSky Security和Trend Micro也報(bào)告了類似的掃描監(jiān)測結(jié)果，這些結(jié)果在接下來的幾天內(nèi)都在增強(qiáng)。

這也解釋了為什么大多數(shù)尋找ThinkPHP網(wǎng)站的攻擊者大多也是中國人。

NewSky Security公司的首席安全研究員Ankit Anubhav告訴ZDNet，“嘗試運(yùn)行Powershell的這個(gè)攻擊小組很奇怪。”“他們實(shí)際上有一些代碼可以檢查操作系統(tǒng)類型，并為Linux運(yùn)行不同的漏洞代碼，但他們也運(yùn)行Powershell只是為了試試運(yùn)氣。”

一天之內(nèi)，網(wǎng)絡(luò)攻擊就開始了

但是你不需要成為中國人來利用中文軟件中的漏洞。隨著越來越多的威脅組織將了解這種侵入Web服務(wù)器的新方法，對中國網(wǎng)站的攻擊將會(huì)加劇。

“PoC于12月11日發(fā)布，我們在不到24小時(shí)后就看到了互聯(lián)網(wǎng)范圍內(nèi)的掃描監(jiān)測結(jié)果，免備案主機(jī)，”Bad Packets LLC的聯(lián)合創(chuàng)始人Troy Mursch對ZDNet表示。

但是現(xiàn)在這個(gè)小組并沒有做任何特別的事情。他們不會(huì)感染使用加密貨幣礦工或任何惡意軟件的服務(wù)器。他們只是掃描易受攻擊的主機(jī)，運(yùn)行一個(gè)基本的“echo hello d3c3mb3r”命令，就是這樣。

據(jù)外媒ZDNet了解，超過4.5萬個(gè)中國網(wǎng)站受到了試圖進(jìn)入網(wǎng)絡(luò)服務(wù)器的不法分子的攻擊。

利用新的ThinkPHP漏洞，VPS租用 國內(nèi)服務(wù)器，發(fā)起威脅的小組數(shù)量也在增加。現(xiàn)在已經(jīng)掌握了初始攻擊者的信息，被一個(gè)安全專家命名為“D3c3mb3r”的組織，以及一個(gè)使用ThinkPHP漏洞感染Miori IoT惡意軟件服務(wù)器的組織。

Trend Micro公司檢測到的最后一組監(jiān)測信息也表明，ThinkPHP框架可能已被用于構(gòu)建一些家用路由器和物聯(lián)網(wǎng)設(shè)備的控制面板，因?yàn)镸iori無法在實(shí)際的Linux服務(wù)器上正常運(yùn)行。

這些攻擊針對的是使用ThinkPHP構(gòu)建的網(wǎng)站，ThinkPHP是一個(gè)中國制造的PHP框架，在本地Web開發(fā)領(lǐng)域非常受歡迎。

45,000多個(gè)易受攻擊的主機(jī)