上万中文网站遭殃,新黑客组织利用ThinkPHP漏洞

上万中文网站遭殃,新黑客组织利用ThinkPHP漏洞

近日,ThinkPHP开发框架中的一个漏洞导致超过4.5万个中文网站涉及其中,黑客一直在持续利用这个漏洞以试图获取对Web服务器的访问权限。其中一个名为D3c3mb3r的此前未知的黑客组织被发现正在利用这个漏洞。与此同时,另一个黑客组织也被发现利用此漏洞通过Miori恶意软件来感染服务器。

上万中文网站遭殃,新黑客组织利用ThinkPHP漏洞

D3c3mb3r黑客身份未知,攻击原因不明

据外媒ZDNet报道称,这次攻击始于一家网络安全公司VulnSpy在ExploitDB网站上发布了ThinkPHP漏洞概念验证(PoC)之后开始的,其中ExploitDB是一个提供免费漏洞利用代码的热门网站。这个PoC指出,通过利用该漏洞,攻击者可以在基础服务器上执行恶意代码。

“PoC于12月11日发布,我们在不到24小时后就看到了全网扫描,”网络安全公司Bad Packets LLC的联合创始人Troy Mursch告诉ZDNet。其他安全公司如F5、GreyNoise、NewSky Security和Trend Micro也确认了Mursch的说法,并发现攻击者在接下来的日子里加大了对该漏洞的扫描力度。

上万中文网站遭殃,新黑客组织利用ThinkPHP漏洞

ThinkPHP 5.0.23/5.1.31——远程代码执行漏洞

“这些攻击者在PHP上非常高调,他们的目的主要是寻找网络服务器而不是物联网设备,”NewSky Security的首席安全研究员Ankit Anubhav在评论D3c3mb3r黑客组织近期的活动时说到。但是现在这个组织并没有做任何特别的事情。他们没有使用加密货币矿工或任何恶意软件来感染服务器。他们只是扫描易受攻击的主机,运行一个基本的“echo hello d3c3mb3r”命令,其动机尚未明确。

Trend Micro(趋势科技)发现,使用Miori恶意软件的攻击者正在利用该漏洞来操纵家用路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常运行。与此同时,NewSky Security检测到另一组扫描了基于ThinkPHP的网站,并尝试运行Microsoft Powershell命令。

“这个Powershell看上去有些多余。他们实际上已经包括了一些特定代码可以检查操作系统类型,并为Linux运行不同的漏洞利用代码,但他们也同时运行Powershell只是为了试试运气,”NewSky Security的首席安全研究员Ankit Anubhav最后说道。

ThinkPHP 5.x远程执行代码漏洞

漏洞的根本原因是ThinkPHP解析请求的控制器并执行所请求的功能的方式。维护者向Github存储库提交的补丁表明,其添加了验证提供的控制器名称的正则表达式。这种添加的原因是因为ThinkPHP接收所请求的模块、控制器和函数以在查询参数中执行,并使用“/”字符作为分隔符将其拆分。

上万中文网站遭殃,新黑客组织利用ThinkPHP漏洞

ThinkPHP拆分接收的字符串以获取模块和控制器名称

一旦ThinkPHP解析了控制器名称和功能,它首先使用反射创建所提供控制器名称的实例,然后执行所请求的功能。

上万中文网站遭殃,新黑客组织利用ThinkPHP漏洞

ThinkPHP创建所请求控制器的实例并执行所请求的功能

导致任意命令执行的两个公开的攻击向量试图加载两个ThinkPHP类有效负载分别是:

http://thinkphp/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l

http://thinkphp/public/index.php?s=/index/\think\request/cache&key=ls%20-l|system

4.5万台服务器受攻击

根据搜索引擎Shodan的统计,目前有超过45,800台服务器运行基于ThinkPHP的Web应用程序,可以在线访问。其中,超过40,000个托管在中文IP地址上。这是因为ThinkPHP的文档仅提供中文版本,并且很可能不在国外使用。

这也解释了为什么大多数寻找ThinkPHP网站的攻击者大多也是中国人。“到目前为止,我们看到扫描ThinkPHP安装的唯一主机来自中国或俄罗斯,”Mursch在咨询了大多数这些扫描的起源数据后告诉ZDNet。

随着越来越多的威胁组织了解这种侵入Web服务器的新方法,对中文网站的攻击将会加剧。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133700.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code