因PHP漏洞,超过4.5万个中国网站被攻击
日前据外媒ZDNet了解,超过4.5万个中国网站受到了试图进入网络服务器的不法分子攻击。
此次黑客利用中国网络安全公司VulnSpy在ExploitDB上发布了针对ThinkPHP的概念验证漏洞,该漏洞由于ThinkPHP框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下执行任意代码,最终服务器会被GetShell,该漏洞影响ThinkPHP 5.0、ThinkPHP 5.1多个版本。
ThinkPHP作为一个快速、兼容而且简单的轻量级国产PHP开发框架,在国内受到非常多的开发者欢迎。
根据全网数据统计,使用ThinkPHP的网站多达33万余个,其中大部分集中在国内,约占使用量的75%以上。其中,浙江、北京、广东三省使用量最高,ThinkPHP的使用范围较广,在政府部门、教育行业、商业用途中都备受青睐。由于ThinkPHP是一个开发框架,有大量cms、私人网站在其基础上进行开发,因此此漏洞的影响非常大。
因为ThinkPHP的文档仅提供中文版本,所以使用者大部分为中国人,根据搜索引擎Shodan的统计,目前有超过45,800台服务器运行基于ThinkPHP的Web应用程序,可以在线访问。其中,超过40,000个托管在中文IP地址上。
Bad Packets LLC的联合创始人Troy Mursch对ZDNet表示,“PoC于12月11日发布,我们在不到24小时后就看到了互联网范围内的扫描监测结果。”
此外,Mursch在咨询了大多数这些扫描的起源数据后还发现了一件事“到目前为止,我们看到扫描ThinkPHP安装的唯一主机来自中国或俄罗斯。”
其他四家安全公司,F5Labs,GreyNoise,NewSky Security和Trend Micro也报告了类似的扫描监测结果,这些结果在接下来的几天内都在增强。
利用新的ThinkPHP漏洞,发起威胁的小组数量也在增加。现在已经掌握了初始攻击者的信息,被一个安全专家命名为“D3c3mb3r”的组织,以及一个使用ThinkPHP漏洞感染Miori IoT恶意软件服务器的组织。
Trend Micro公司检测到的最后一组监测信息也表明,ThinkPHP框架可能已被用于构建一些家用路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常运行。
随着越来越多的威胁组织将了解这种侵入Web服务器的新方法,对中国网站的攻击将会加剧。为了避免造成损失,开发者们应尽快升级ThinkPHP的代码框架至最新版本,防止自己的网站被攻破。