近期,騰訊安全御見威脅情報(bào)中心監(jiān)測(cè)到某教育科技機(jī)構(gòu)服務(wù)器遭到ThinkPHP V5* 遠(yuǎn)程代碼執(zhí)行漏洞攻擊���。經(jīng)分析��,病毒作者主要參考Mirai和Gafgyt源代碼的變種病毒�����,直接開發(fā)Mirai蠕蟲病毒的兩個(gè)版本�����,分別針對(duì)PC服務(wù)器和物聯(lián)網(wǎng)等智能設(shè)備發(fā)起攻擊����。一般中毒后的系統(tǒng)會(huì)成為僵尸網(wǎng)絡(luò)的一部分,受不法黑客控制向目標(biāo)計(jì)算機(jī)發(fā)起DDoS攻擊�,以此獲取經(jīng)濟(jì)報(bào)酬��。
攻擊爆發(fā)之后���,騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)第一時(shí)間通過(guò)對(duì)企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量分析�����,成功感知漏洞的利用和攻擊�。據(jù)了解���,騰訊“御界”是基于騰訊安全反病毒實(shí)驗(yàn)室的安全能力�、依托騰訊在云和端的海量數(shù)據(jù)����,研發(fā)出獨(dú)特的威脅情報(bào)和惡意檢測(cè)模型系統(tǒng),可幫助企業(yè)用戶及時(shí)感知惡意流量����,檢測(cè)釣魚網(wǎng)址和遠(yuǎn)控服務(wù)器地址在企業(yè)網(wǎng)絡(luò)中的訪問(wèn)情況,全面保護(hù)企業(yè)網(wǎng)絡(luò)安全����。
(圖:騰訊御界高級(jí)威脅檢測(cè)系統(tǒng))
事實(shí)上�����,早在去年12月9日�,ThinkPHP官方發(fā)布安全更新���,公布了遠(yuǎn)程命令執(zhí)行的高危漏洞(CNVD-2018-24942)�����。不法黑客利用此漏洞可以批量入侵企業(yè)網(wǎng)站��,直接影響網(wǎng)站服務(wù)器ThinkPHP 5.0.23以下版本��。由于此次中毒科技教育機(jī)構(gòu)的網(wǎng)站服務(wù)器采用ThinkPHP版本為5.1.30�����,屬于受影響版本范圍���。
(圖:ThinkPHP 5.1.30版本)
作為一個(gè)整體開發(fā)解決方案,ThinkPHP支持windows��、Unix、Linux等服務(wù)器環(huán)境�����,以及支持MySql�、PgSQL�����、Sqlite多種數(shù)據(jù)庫(kù)和PDO擴(kuò)展�,主要服務(wù)簡(jiǎn)化企業(yè)級(jí)應(yīng)用開發(fā)和敏捷WEB應(yīng)用開發(fā)者。自2006年初誕生以來(lái)�����,ThinkPHP秉承簡(jiǎn)潔實(shí)用的設(shè)計(jì)原則�,受到眾多開發(fā)者的熱捧。根據(jù)國(guó)家信息安全漏洞共享平臺(tái)探測(cè)數(shù)據(jù)��,全球使用ThinkPHP框架的服務(wù)器規(guī)模共計(jì)有4.3萬(wàn)臺(tái)��,其中����,中國(guó)�、美國(guó)和加拿大位居前三�。
據(jù)騰訊安全技術(shù)專家介紹,Mirai病毒最早出現(xiàn)在2016年����,通過(guò)感染可訪問(wèn)網(wǎng)絡(luò)的消費(fèi)級(jí)電子設(shè)備,以達(dá)到組建僵尸網(wǎng)絡(luò)進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊的目的���。盡管當(dāng)前開發(fā)Mirai病毒作者已經(jīng)落網(wǎng)����,但Mirai的源代碼以開源的形式已發(fā)布至各大黑客論壇�����,其中的技術(shù)也已被一些惡意軟件采用��,導(dǎo)致其危害仍在延續(xù)擴(kuò)散�。截至目前,Mirai構(gòu)建的僵尸網(wǎng)絡(luò)已經(jīng)參與了幾次影響廣泛的DDoS攻擊���,包括2016年9月20日針對(duì)計(jì)算機(jī)安全撰稿人布萊恩·克萊布斯個(gè)人網(wǎng)站的攻擊�����、對(duì)法國(guó)網(wǎng)站托管商OVH的攻擊���,以及2016年10月Dyn公司網(wǎng)絡(luò)攻擊事件�����。
在國(guó)內(nèi)���,騰訊安全御見威脅情報(bào)中心對(duì)Mirai病毒進(jìn)行持續(xù)監(jiān)測(cè)�,曾于去年12月28日發(fā)現(xiàn)其利用SQL Server弱密碼進(jìn)行暴力入侵的病毒攻擊事件,被入侵的服務(wù)器被安裝暗云感染器�、Mykings木馬、以及Mirai病毒變種��。值得一提的是����,該Mirai變種具有針對(duì)閉路電視物聯(lián)網(wǎng)設(shè)備漏洞進(jìn)行攻擊的能力,而此次發(fā)現(xiàn)的變種將最新ThinkPHP高危漏洞�����、多種路由器漏洞�����、upnp設(shè)備漏洞進(jìn)行組合攻擊,感染能力再次增強(qiáng)��。
此外�,騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大企業(yè)用戶����,務(wù)必提高網(wǎng)絡(luò)安全防范意識(shí),建議盡快更新ThinkPHP到最新版本��。同時(shí)推薦使用騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)����,可有效檢測(cè)此類漏洞入侵攻擊。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待���。投資者據(jù)此操作�,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號(hào)