首页
学习
活动
专区
工具
TVP
发布

ThinkPHP框架出现bug,上万中文网站遭殃

近日,ThinkPHP开发框架中的一个漏洞导致超过4.5万个中文网站涉及其中,黑客一直在持续利用这个漏洞以试图获取对Web服务器的访问权限。

这些攻击针对的是使用 ThinkPHP 构建的网站,ThinkPHP 是一个中国的 PHP 框架,在中国 Web 开发领域非常受欢迎。

所有攻击都是在中国网络公司 VulnSpy 在 ExploitDB 上发布了ThinkPHP 的漏洞后开始的,这是一个免费托管验证漏洞代码的网站。

验证漏洞代码利用 ThinkPHP 的 invokeFunction 方法,在底层服务器执行恶意代码。该漏洞可以被远程利用,并且允许攻击者获得对服务器的控制权。

在12月11日,互联网上就开始出现相应的攻击。而且攻击次数在接下来的几点都在不断增加。

其中一个名为D3c3mb3r的此前未知的黑客组织被发现正在利用这个漏洞。与此同时,另一个黑客组织也被发现利用此漏洞通过Miori恶意软件来感染服务器。

此外,NewSky Security 还发现有攻击者正在基于 ThinkPHP 站点运行 Microsoft Powershell命令。

D3c3mb3r组织是这些攻击者中团队规模最大的,专门攻击一些使用 ThinkPHP 不被关注的网站。但这个小组并没有做任何特别的事情,他们找到容易受攻击的主机,然后运行一个。

“他们在PHP上非常高调,”Anubhav告诉我们。“他们主要是寻找网络服务器,而不是物联网设备。”

但是现在这个小组并没有做任何特别的事情。他们不会感染使用加密货币矿工或任何恶意软件的服务器。他们只是扫描易受攻击的主机,运行一个基本的“echo hello d3c3mb3r”命令,就是这样。

“我不确定他们的动机,”Ankit Anubhav说。

远程代码执行漏洞

根据搜索引擎Shodan的统计,目前有超过45,800台服务器运行基于ThinkPHP的Web应用程序,可以在线访问。其中,超过40,000个托管在中文IP地址上。这是有道理的,因为ThinkPHP的文档仅提供中文版本,并且很可能不在国外使用。

这也解释了为什么大多数寻找ThinkPHP网站的攻击者大多也是中国人。

“到目前为止,我们看到扫描ThinkPHP安装的唯一主机来自中国或俄罗斯,”Mursch在咨询了大多数这些扫描的起源数据后告诉ZDNet。

但是你不需要成为中国人来利用中文软件中的漏洞。随着越来越多的威胁组织将了解这种侵入Web服务器的新方法,对中国网站的攻击将会加剧。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181227A0EVV500?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券