5 月 16 日消息，安全公司 ESET 近日發(fā)布報告，聲稱一款名為“Ebury”的“上古”僵尸網(wǎng)絡(luò)病毒已經(jīng)卷土重來，相關(guān)僵尸網(wǎng)絡(luò)病毒從 2009 年就開始活動，至今已感染約 40 萬臺 Linux 主機(jī)。

研究人員對這款僵尸網(wǎng)絡(luò)近期的攻擊行動進(jìn)行了分析，發(fā)現(xiàn)黑客偏好針對服務(wù)器 VPS 供應(yīng)商進(jìn)行攻擊，此后再對供應(yīng)商旗下租用虛擬機(jī)的用戶發(fā)動供應(yīng)鏈攻擊。

從報告中獲悉，黑客主要利用泄露的數(shù)據(jù)庫“撞庫”入侵服務(wù)器，一旦成功獲得目標(biāo)主機(jī)權(quán)限，黑客便會部署一系列 SSH 腳本，并試圖獲取相關(guān) VPS 中的密鑰，然后用于嘗試入侵其他服務(wù)器。此外，研究人員還發(fā)現(xiàn)黑客利用部分未能及時修復(fù)軟件漏洞的服務(wù)器進(jìn)一步提升權(quán)限。

而在成功控制受害服務(wù)器后，黑客們利用地址解析協(xié)議（ARP），將受害服務(wù)器的 SSH 流量重定向至黑客方服務(wù)器，從而在第三方用戶登錄受害服務(wù)器提供的服務(wù)時截取獲得賬號密碼，進(jìn)而進(jìn)行更多撞庫。

研究人員指出，他們還發(fā)現(xiàn)黑客利用此僵尸網(wǎng)絡(luò)病毒傳播其他惡意木馬，包括將受害服務(wù)器充當(dāng)代理服務(wù)器使用的 HelimodProxy、重定向流量的 HelimodRedirect、可記錄網(wǎng)站表單內(nèi)容的 HelimodSteal、將網(wǎng)站用戶重定導(dǎo)向至惡意 URL 的 KernelRedirect，以及攔截 HTTP 請求的 FrizzySteal，據(jù)此研究人員呼吁服務(wù)器 VPS 提供商應(yīng)當(dāng)謹(jǐn)慎注意相關(guān)病毒入侵。