5 月 16 日消息，安全公司 ESET 近日發(fā)布報告，聲稱一款名為“Ebury”的“上古”僵尸網絡病毒已經卷土重來，相關僵尸網絡病毒從 2009 年就開始活動，至今已感染約 40 萬臺 Linux 主機。

研究人員對這款僵尸網絡近期的攻擊行動進行了分析，發(fā)現黑客偏好針對服務器 VPS 供應商進行攻擊，此后再對供應商旗下租用虛擬機的用戶發(fā)動供應鏈攻擊。

從報告中獲悉，黑客主要利用泄露的數據庫“撞庫”入侵服務器，一旦成功獲得目標主機權限，黑客便會部署一系列 SSH 腳本，并試圖獲取相關 VPS 中的密鑰，然后用于嘗試入侵其他服務器。此外，研究人員還發(fā)現黑客利用部分未能及時修復軟件漏洞的服務器進一步提升權限。

而在成功控制受害服務器后，黑客們利用地址解析協議（ARP），將受害服務器的 SSH 流量重定向至黑客方服務器，從而在第三方用戶登錄受害服務器提供的服務時截取獲得賬號密碼，進而進行更多撞庫。

研究人員指出，他們還發(fā)現黑客利用此僵尸網絡病毒傳播其他惡意木馬，包括將受害服務器充當代理服務器使用的 HelimodProxy、重定向流量的 HelimodRedirect、可記錄網站表單內容的 HelimodSteal、將網站用戶重定導向至惡意 URL 的 KernelRedirect，以及攔截 HTTP 請求的 FrizzySteal，據此研究人員呼吁服務器 VPS 提供商應當謹慎注意相關病毒入侵。