圖片來源: 

ESET

資安業者ESET宣佈經過近一年多的追蹤後,在與執法單位合作下,感染約4000台Linux伺服器的垃圾郵件僵屍網路Mumblehard終於遭到成功關閉。

ESET在2014年底發現,並於2015年4月首度公佈Mumblehard的研究結果。Mumblehard由外部C&C伺服器控制執行命令,另有負責發送大量垃圾郵件mail daemon,以及隱藏其執行的Perl程式碼的packer。C&C伺服器具有script會隨時監控IP位址封鎖名單Spamhaus CBL( Composite Blocking List),一旦發現它感染的伺服器IP位址在黑名單上,該script就會要求Spamhaus刪除該IP位址,成功躲過封鎖。

ESET註冊了一個網域作為Mumblehard的C&C伺服器以刺探整個網路的大小及分佈狀態。最活躍時期,Mumblehard下每天活動的IP位址從1500到2500個不等,並在去年5月及6月曾分別進行過二次更新。而隨著ESET設立「沈洞」(sinkhole)伺服器協助被感染機器解毒,使Muumblehart僵屍網路逐漸減少。

根據研究團隊統計,截至今年二月,全球還有將近4,000台Linux伺服器遭到Mumblehard的感染。

經過ESET的通報,烏克蘭網路警察及CyS Centrum公司合作下,於2016年2月29日破獲Mumblehard僵屍網路C&C伺服器,終止其垃圾郵件活動。

不過ESET指出當初以為駭客是藉由Joomla與Wordpress的漏洞攻陷Linux與BSD系統並植入後門程式,但後來發現不然,因為並非所有執行Mumblehard代理程式的機器都遭到感染後門程式,而也只有植入其PHP shell的機器才有發現到script,研究團隊懷疑可能是借力其他犯罪組織遂其目的。

ESET並提供Mumblehard的檢測方式,並呼籲管理員應確保Web程式需更新到最新版本,並採用強密碼保護管理員帳號。


Advertisement

更多 iThome相關內容