一个新的PHP框架错误导致中国网站遭受攻击已有一周,据ZDNet了解,中国有超过4.5万家网站遭到了恶意网站的攻击,这些网站试图进入网络服务器。这些攻击针对的是使用ThinkPHP构建的网站。ThinkPHP是中国制造的PHP框架,在本地web开发领域非常流行。所有攻击都是在中国网络安全公司VulnSpy将ThinkPHP的一个概念验证漏洞发布在了一个流行的免费漏洞代码托管网站上之后开始的。概念验证代码利用框架的invokeFunction方法中的漏洞在底层服务器上执行恶意代码。这个漏洞是可以远程利用的,正如基于web的应用程序中的大多数漏洞一样,它可以让攻击者控制服务器。袭击发生在一天之内,“PoC于12月11日发布,我们在不到24小时后就看到了互联网扫描,”Bad信息包有限责任公司的联合创始人TroyMursch告诉ZDNet。其他四家安全公司——F5Labs、GreyNoise、NewSkysecurity和TrendMicro——也报告了类似的扫描,在接下来的几天里扫描强度有所增加。利用新ThinkPHP漏洞的有组织威胁组织的数量也在增加。现在有了最初的攻击者,另一个被安全专家称为“D3c3mb3r”的团体,还有一个团体利用ThinkPHP漏洞用MioriIoT恶意软件感染服务器。
趋势微检测到的最后一组数据还表明,ThinkPHP框架可能被用于构建一些家庭路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常工作。此外,NewSkySecurity还检测到第四组扫描基于thinkphp的站点,并试图运行MicrosoftPowershell命令。纽斯基安全公司的首席安全研究员AnkitAnubhav告诉ZDNet:“Powershell的版本很奇怪。”“他们实际上有一些代码可以检查操作系统类型,并为Linux运行不同的利用代码,但他们也运行Powershell只是为了碰碰运气。”但是在所有利用ThinkPHP漏洞的组中,最大的组是他们称为D3c3mb3r的组。这个小组并不只