安全研究员发现了多个IP地址利用已修复的PHP漏洞劫持Linux服务器

华盛顿大学的安全研究员Andre'DiMino注意到了多个IP地址试图利用一个已修复PHP漏洞劫持Linux服务器，他很好奇攻击者如何成功控制一台Linux服务器，因此设立了一个蜜罐，运行旧版本的PHP，让攻击者劫持，进行观察。 DiMino发现，攻击者发出了包含多个指令的HTTP POST请求，下载一个伪装成PDF文件的Perl脚本，执行之后删除。为了确保成功，攻击者使用curl、fetch、lwp-get请求重复上述步骤。Perl脚本编程休眠一段时间，猜测可能是避开管理员的观察。最终被感染的机器连上一个中继聊天频道，下载执行另一个脚本。 攻击者在服务器上安装了多个应用，包括比特币和素数币挖矿程序，DDoS工具，扫描其它存在已知漏洞的机器的工具。 随着Linux服务器的流行，它和Windows PC一样成为攻击者眼中极具吸引力的目标。