Shellshock漏洞面臨失控,雅虎和WinZip網(wǎng)站中招
責編:admin |2014-10-09 14:04:01安全研究人員 Jonathan Hall近日聲稱發(fā)現(xiàn)了一個羅馬尼亞黑客搭建的僵尸網(wǎng)絡(luò),利用Shellshock漏洞控制了大量知名互聯(lián)網(wǎng)公司的服務(wù)器,包括雅虎和壓縮工具軟件WinZip的官網(wǎng)。
Jonathan Hall最近發(fā)布了雅虎服務(wù)器的漏洞報告,并透露雅虎已經(jīng)承認有兩臺游戲服務(wù)器(dip4.gq1.yahoo.com和api118.sports.gq1.yahoo.com)被僵尸網(wǎng)絡(luò)入侵并取得root權(quán)限。
據(jù)Hall透露,發(fā)現(xiàn)雅虎僵尸服務(wù)器事出偶然。當時Hall正在追蹤掃描Hall所在公司服務(wù)器CGI服務(wù)器腳本Shellshock漏洞的請求,利用該漏洞攻擊者可以向服務(wù)器操作系統(tǒng)發(fā)送指令,從而遠程控制服務(wù)器。Hall追蹤攻擊掃描至WinZip.com的一臺服務(wù)器,然后Hall也利用bash漏洞入侵了該服務(wù)器,并在服務(wù)器活動進程中發(fā)現(xiàn)一個名為ha.pl的Perl腳本。
通過分析該腳本內(nèi)容,Hall發(fā)現(xiàn)這是一個類似在IRC服務(wù)器上發(fā)起DDoS攻擊的IRC僵尸網(wǎng)絡(luò),但進一步分析后Hall發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)更加強調(diào)通過shell互動對服務(wù)器的遠程控制,通過IRC代碼向一個IRC頻道匯報,內(nèi)容中有大量的羅馬尼亞文。
Hall隨后使用Perl腳本中獲得的信息連上了僵尸網(wǎng)絡(luò)的IRC通訊頻道,通過對IRC流量的監(jiān)控,Hall發(fā)現(xiàn)很多bot流量來自一些大型互聯(lián)網(wǎng)公司的服務(wù)器,包括lycos.com和yahoo.com。
Hall還通過Google搜索發(fā)現(xiàn)大量存在Shellshock漏洞的網(wǎng)站服務(wù)器都成了這個僵尸網(wǎng)絡(luò)的一部分。Hall表示:
通過Google搜索發(fā)現(xiàn),幾乎每個沒有修補漏洞的網(wǎng)站在cig-bin或/tmp或/var/tmp目錄中包含了一個用于連接IRC命令控制服務(wù)器的.pl腳本。其中一些腳本有自擴散能力,類似google搜索,但是功能更加專一,至搜索特定的域名后綴例如.com.nz.co.uk.jp等。
Hall的發(fā)現(xiàn)表明,bash shellshock漏洞已經(jīng)開始被黑客廣泛利用,攻擊者利用Google搜索等工具發(fā)現(xiàn)服務(wù)器漏洞并大量植入后門。需要擔心的不僅僅是大型互聯(lián)網(wǎng)公司的安全團隊,個人用戶也需要提防Shellshock漏洞的沖擊。FireEye已經(jīng)發(fā)出警告,黑客正利用Bash Shellshock補丁窗口期針對QNAP NAS等嵌入式設(shè)備進行攻擊。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧