網絡攻擊感染時有發生,日前就有一宗被後門程式 CryptoPHP 大規模網絡伺服器感染被發現,影響逾 23,000 部伺服器及使用其服務的網站。
將偽裝成各種網頁服務插件及主題
據荷蘭資安機構 Fox-IT 最近發表的報告指,CryptoPHP 程式碼廣為針對搜尋引擎作出「優化」的黑客所使用。黑客將 CryptoPHP 在網站注射各種字眼及頁面,以騎劫目標在搜尋引擎中的排名與曝光度,藉此令其他相對較為「無害」的惡意網站在搜尋結果中的排名上升。
有別於透過發掘漏洞繼而感染的常見情況,CryptoPHP 將偽裝成各種網頁服務如 Joomla、WordPress、Drupal 等廣告插件或網站主題,並靜待網站管理員自行下載並安裝含有 CryptoPHP 程式碼的插件。
網絡伺服器受感染後隨即變為殭屍網絡,容易黑客在加密通訊渠道下向其發號施令。Fox-IT 在進行名為「sinkholing」的資料 CryptoPHP 截取計劃時,發現達 23,693 個無重複的 IP 地址曾連接到原為 CryptoPHP 的 sinkholes 中,基於部分 IP 有再向下分配地址的措施,只此機構專家認為實際感染數量將有更多。
自 Fox-IT 報告出爐後,黑客隨即就將原有的 CryptoPHP 服務移除,並重新設立另一個新的服務點。Fox-IT 研究人員亦為此推出兩段 Python 程式碼,供網站管理員掃瞄其網站及伺服器;亦在其部落格上提供移除 CryptoPHP 的步驟教學。但有見於感染擴散的顧慮,網站管理員亦應考慮將內容管理系統 (Content Management System,CMS) 重新安裝,以策萬全。
Source:Fox-IT
