資安業者與執法單位合作，關閉感染全球約4千台Linux伺服器的垃圾郵件僵屍網路

資安業者ESET宣佈經過近一年多的追蹤後，在與執法單位合作下，感染約4000台Linux伺服器的垃圾郵件僵屍網路Mumblehard終於遭到成功關閉。

ESET在2014年底發現，並於2015年4月首度公佈Mumblehard的研究結果。Mumblehard由外部C&C伺服器控制執行命令，另有負責發送大量垃圾郵件mail daemon，以及隱藏其執行的Perl程式碼的packer。C&C伺服器具有script會隨時監控IP位址封鎖名單Spamhaus CBL（ Composite Blocking List），一旦發現它感染的伺服器IP位址在黑名單上，該script就會要求Spamhaus刪除該IP位址，成功躲過封鎖。

ESET註冊了一個網域作為Mumblehard的C&C伺服器以刺探整個網路的大小及分佈狀態。最活躍時期，Mumblehard下每天活動的IP位址從1500到2500個不等，並在去年5月及6月曾分別進行過二次更新。而隨著ESET設立「沈洞」(sinkhole)伺服器協助被感染機器解毒，使Muumblehart僵屍網路逐漸減少。

根據研究團隊統計，截至今年二月，全球還有將近4,000台Linux伺服器遭到Mumblehard的感染。

經過ESET的通報，烏克蘭網路警察及CyS Centrum公司合作下，於2016年2月29日破獲Mumblehard僵屍網路C&C伺服器，終止其垃圾郵件活動。

不過ESET指出當初以為駭客是藉由Joomla與Wordpress的漏洞攻陷Linux與BSD系統並植入後門程式，但後來發現不然，因為並非所有執行Mumblehard代理程式的機器都遭到感染後門程式，而也只有植入其PHP shell的機器才有發現到script，研究團隊懷疑可能是借力其他犯罪組織遂其目的。

ESET並提供Mumblehard的檢測方式，並呼籲管理員應確保Web程式需更新到最新版本，並採用強密碼保護管理員帳號。