据美国媒体报道,一个新的蠕虫病毒将目标指向那些运行了Linux和PHP的x86架构计算机,其变种还会对运行在其他芯片架构上的设备(诸如家用路由器和机顶盒)造成威胁。 根据研究人员的介绍,这种病毒利用php-cgi上的一个漏洞进行传播,这个php-cgi组件的功能是允许PHP代码在通用网关接口(CGI)的配置环境下被执行。此漏洞的编号为CNNVD-201205-108(通过这个漏洞,攻击者可以远程执行任意代码,所以这种漏洞又叫“远程任意代码执行漏洞”)。2012年5月份,PHP 5.4.3和PHP5.3.13这两个版本已经打上补丁修复了这个漏洞。 该名研究员在博客中写道:这个名为“Linux.Darlloz”的新蠕虫病毒基于去年10月份放出的PoC代码(PoC:proof ofconcept,概念验证。利用目标计算机的漏洞,为对其进行攻击而设计的代码称为exploit,而一个没有充分利用漏洞的exploit,就是PoC)。 “在传播过程中,这段蠕虫代码会随机产生IP地址,通过特殊途径,利用普通的用户名密码发送HTTP POST请求,探测漏洞”,研究员解释道:“如果一个目标没有打上CNNVD-201205-108的补丁,这台机器就会从病毒服务器下载蠕虫病毒,之后寻找下一个目标。”这个唯一的蠕虫变种目前为止只感染了x86系统,这是因为这个病毒的二进制格式为Intel架构下的ELF(Executableand Linkable Format)格式。然而事实是,黑客也为其他架构开发了病毒,包括ARM,PPC,MIPS和MIPSEL。这些计算机架构主要用于诸如家用路由器、网络监视器、机顶盒以及其他嵌入式设备。 攻击者显然试图在最大范围内感染运行Linux的设备,然而目前还没有证实他们有没有攻击非PC设备。很多嵌入式设备的固件都使用Linux作为操作系统,并且使用PHP作为Web服务管理界面。这些设备比PC机或服务器更容易被攻陷,因为它们不会经常更新软件。 为了保护用户的设备免受蠕虫感染,需要确认这些设备是否运行在最新的固件版本上,必要的话,升级固件,设置高强度的管理员密码。在防火墙或任何独立的设备,都要屏蔽任何对-/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgiand -/cgi-bin/php4的HTTP POST请求。