Linux僵尸网络Mayhem通过Shellshock漏洞传播

Shellshock的影响还在继续：攻击者正在利用最近Bash命令行解释器发现的漏洞，通过复杂的恶意软件程序Mayhem来感染Linux服务器。

创新互联成立10多年来，这条路我们正越走越好，积累了技术与客户资源，形成了良好的口碑。为客户提供成都做网站、成都网站建设、成都外贸网站建设、网站策划、网页设计、域名注册、网络营销、VI设计、网站改版、漏洞修补等服务。网站是否美观、功能强大、用户体验好、性价比高、打开快等等，这些对于网站建设都非常重要，创新互联通过对建站技术性的掌握、对创意设计的研究为客户提供一站式互联网解决方案，携手广大客户，共同发展进步。

Mayhem在今年早些时候被发现，由俄罗斯互联网公司Yandex进行了彻底的分析。该恶意软件通过PHP脚本进行安装，该脚本是由攻击者通过感染FTP密码、网站漏洞或者暴力破解网站管理登录凭证而上传到服务器。

Mayhem的主要组件是一个恶意ELF(可执行和可链接格式)库文件，在安装后，该文件会下载额外的插件并将它们存储在隐藏的加密文件系统中。这些插件允许攻击者使用新感染的服务器来攻击和感染其他的网站。

在七月份，Yandex研究人员估计该僵尸网络包含约1400台受感染的服务器，这些服务器被链接到两台独立的命令控制服务器。

来自独立研究公司Malware Must Die(MMD)的研究人员在本周早些时候报告称，Mayhem的编写者已经添加了Shellshock漏洞利用到该僵尸网络的武器库。

Shellshock是最近在Linux Bash命令行解释器中发现的多个漏洞的统称。这些漏洞可以被利用来实现对服务器的远程代码执行，通过几个攻击向量，包括CGI(公共网关接口)、OpenSSH、DHCP(动态主机配置协议)，在某些情况下甚至还有OpenVPN。

根据MMD公司研究人员表示，源自于Mayhem僵尸网络的Shellshock攻击瞄准着具有CGI支持的web服务器。僵尸机器会探测web服务器是否容易受到Bash漏洞的攻击，然后利用它们来执行Perl脚本。

该脚本具有恶意Mayhem ELF二进制文件，针对32位和64位CPU架构，这些架构嵌入其中作为十六进制数据，并使用LD_PRELOAD函数来提取和运行它们。

与之前的版本一样，它创建了隐藏的文件系统，用来存储其额外的组件和插件，这些工具可用于对其他系统进行各种扫描和攻击。MDL研究人员认为，这些组件中的某个组件已经升级为利用新的Shellshock漏洞利用，但还没有得到证实。

然而，这个理论并不是空穴来风，事实证明，有些已经观察到的Shellshock攻击尝试源自于与现有Mayhem僵尸网络相关的IP(互联网协议)地址，除了来自英国、印度尼西亚、波兰、奥地利、澳大利亚和瑞典的新的IP地址外。MMD公司已经将其收集的信息分享给了国家计算机应急响应小组(CERTs)。

大多数Linux发行版都已经发布了修复Shellshock漏洞的补丁，但很多web服务器，特别是自我管理的服务器，还没有配置为自动部署更新。还有很多基于Linux的企业产品和嵌入式设备包含web服务器，容易受到Shellshock漏洞影响。如果这些产品没有安装补丁或者还没有可用补丁，它们都可能成为攻击目标。(邹铮编译)

分享标题：Linux僵尸网络Mayhem通过Shellshock漏洞传播
链接分享：http://www.gawzjz.com/qtweb2/news16/12916.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联