企业和办事供给商收集安然和治理解决方案领先供给商Arbor Networks指出,比来的一次步履开端于2013年5月底,步履名称为“Fort Disco”。
两大年夜僵尸收集正在利用或对准了各类内容治理系统,包含很是风行的WordPress博客平台和Joomla网站平台。企业和办事供给商收集安然和治理解决方案领先供给商Arbor Networks指出,比来的一次步履开端于2013年5月底,步履名称为“Fort Disco”。 Arbor公司已发现了6个号令与节制办事器,在超越25,000台受传染的Windows机械上运行,这些机械被用来不竭测验测验暗码组合来暴力报复打击CMSs。
僵尸系统网站对准CMSs
迄今为止,有6,000多台安装了WordPress博客平台、Joomla网站平台和Datalife Engine商业CMS系统的机械遭到了风险。Arbor深切理解此次步履的意义,因为在“Fort Disco”步履以后留下了一些可以公开获得的日记文件。虽然存在这方面忽视,僵尸系统主网站仍是利用了一些半智能歹意软件来回避窥伺。
他们起码利用了4种歹意软件,这些软件会接管指令并把重点放在方针网站,此中包含5,000到10,000个之间的一个时候变量列表。另外一条指令会奉告软件该利用甚么暗码,有时还会对暗码供给统一资本定位器(URL)。僵尸系统主网站将获得成功不法闯进的返回陈述。
在788个案例中,方针网站上被安装了PHP文件后门,承诺报复打击者浏览文件系统、上传或下载文件和在受传染的办事器上履行号令。Arbor公司的Matthew Bing说道:“经由过程向受害站点上传PHP shell脚本,报复打击者可以垂手可得地向千万个受害网站发布指令。”
在一些网站上,有一个重定向器向用户发送Styx透代码东西包。Arbor公司觉得,报复打击者正在吸纳CMSs和博客平台为僵尸收集的一部门为将来的报复打击做预备。
Arbor公司觉得,侵进者的总部在苏联国度。大年夜大都方针网站都设在俄罗斯或乌克兰境内,而所有的批示节制网站都在这两个国度。歹意软件一开端是如何侵进到机械傍边的,这仍然是个未解之谜。“我们可以或许看出,歹意软件原始文件名(maykl_lyuis_bolshaya_igra_na_ponizhenie.exe)的含义与Michael Lewis俄文版的书《以大年夜见小:末日机械》有关,该文件带有可履行的附件。”
“另外一个文件名(proxycap_crack.exe)指的是ProxyCap法度的分裂。今朝尚不清晰受害者是不是曾被勾引运行这些文件。假定是的话,这就是独一的传染路子。关于传染机理,C&C 网站并未供给任何附加的线索。”
趋势科技(Trend Micro)公司警告说,不计其数以WordPress博客平台、Drupal系统、Joomla网站平台为根本的受害网站正在成为滥发垃圾邮件的僵尸网站的一部门。受害网站包含有效载荷链接和垃圾邮件脚本,并发送给用户以传播歹意软件。
趋势科技公司觉得,有195,000域和IP地址遭到传染,变成StealRat垃圾邮件僵尸网路的一部门。该公司在本周颁发的博客中说道:“这些受害网站的共同点是它们都利用脆弱的CMS运行软件。”