新的蠕虫病毒能感染Linux和PHP的x86架构计算机

据美国媒体报道，一个新的蠕虫病毒将目标指向那些运行了Linux和PHP的x86架构计算机，其变种还会对运行在其他芯片架构上的设备（诸如家用路由器和机顶盒）造成威胁。 根据研究人员的介绍，这种病毒利用php-cgi上的一个漏洞进行传播，这个php-cgi组件的功能是允许PHP代码在通用网关接口（CGI）的配置环境下被执行。此漏洞的编号为CNNVD-201205-108（通过这个漏洞，攻击者可以远程执行任意代码，所以这种漏洞又叫“远程任意代码执行漏洞”）。2012年5月份，PHP 5.4.3和PHP5.3.13这两个版本已经打上补丁修复了这个漏洞。 该名研究员在博客中写道：这个名为“Linux.Darlloz”的新蠕虫病毒基于去年10月份放出的PoC代码（PoC：proof ofconcept，概念验证。利用目标计算机的漏洞，为对其进行攻击而设计的代码称为exploit，而一个没有充分利用漏洞的exploit，就是PoC）。 “在传播过程中，这段蠕虫代码会随机产生IP地址，通过特殊途径，利用普通的用户名密码发送HTTP POST请求，探测漏洞”，研究员解释道：“如果一个目标没有打上CNNVD-201205-108的补丁，这台机器就会从病毒服务器下载蠕虫病毒，之后寻找下一个目标。”这个唯一的蠕虫变种目前为止只感染了x86系统，这是因为这个病毒的二进制格式为Intel架构下的ELF（Executableand Linkable Format）格式。然而事实是，黑客也为其他架构开发了病毒，包括ARM，PPC，MIPS和MIPSEL。这些计算机架构主要用于诸如家用路由器、网络监视器、机顶盒以及其他嵌入式设备。 攻击者显然试图在最大范围内感染运行Linux的设备，然而目前还没有证实他们有没有攻击非PC设备。很多嵌入式设备的固件都使用Linux作为操作系统，并且使用PHP作为Web服务管理界面。这些设备比PC机或服务器更容易被攻陷，因为它们不会经常更新软件。 为了保护用户的设备免受蠕虫感染，需要确认这些设备是否运行在最新的固件版本上，必要的话，升级固件，设置高强度的管理员密码。在防火墙或任何独立的设备，都要屏蔽任何对-/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgiand -/cgi-bin/php4的HTTP POST请求。