据 ZDNET 报道,有超过 45000 个中国网站由于使用 ThinkPHP 框架受到了攻击。 这些攻击针对的是使用 ThinkPHP 构建的网站,ThinkPHP 是一个中国的 PHP 框架,在中国 Web 开发领域非常受欢迎。 所有攻击都是在中国网络公司 VulnSpy 在 ExploitDB 上发布了 ThinkPHP 的漏洞后开始的,这是一个免费托管验证漏洞代码的网站。 验证漏洞代码利用 ThinkPHP 的 invokeFunction 方法,在底层服务器执行恶意代码。该漏洞可以被远程利用,并且允许攻击者获得对服务器的控制权。 在12月11日,互联网上就开始出现相应的攻击。而且攻击次数在接下来的几点都在不断增加。 利用 ThinkPHP 漏洞就进行攻击的组织也不断增加。现在有:最初的网络攻击者、D3c3mb3r组织、以及使用 ThinkPHP 漏洞感染 Miori IoT 服务的服务器组织。 此外,NewSky Security 还发现有攻击者正在基于 ThinkPHP 站点运行 Microsoft Powershell命令。 D3c3mb3r组织是这些攻击者中团队规模最大的,专门攻击一些使用 ThinkPHP 不被关注的网站。但这个小组并没有做任何特别的事情,他们找到容易受攻击的主机,然后运行一个 超过 45000个主机被攻击根据 Shodan 搜索,目前有超过 45800 台机器运行 ThinkPHP 的 Web 网站可访问。其中40000 个 托管在中文 IP 地址上。 这也是为什么受到攻击的网站大部分是中文网站。 随着越来越多组织了解到这种入侵 Web 服务器的方法,对中国网站的攻击也将会不断增加。 F5 实验室还公布 ThinkPHP 漏洞技术分析和验证代码是如何工作的,点击这里查看。 |
