一款名為“混亂”(Mayhem)的惡意軟件通過(guò)Linux和FreeBSD的網(wǎng)絡(luò)服務(wù)器大肆傳播。這煩人的軟件用了一系列的插件來(lái)制造混亂，感染那些沒(méi)有更新補(bǔ)丁的系統(tǒng)。谷歌則可以在分秒之間減緩他的傳播速度。

供職于俄羅斯門(mén)戶(hù)網(wǎng)站Yandex的Andrej Kovalev, Konstantin Ostrashkevich 和 Evgeny Sidorov發(fā)現(xiàn)了這一會(huì)感染*nix服務(wù)器的惡意軟件。他們從一臺(tái)受感染的機(jī)器的傳輸數(shù)據(jù)上追蹤到了兩臺(tái)命令控制(C&C)服務(wù)器。他們已經(jīng)發(fā)現(xiàn)了至少1400臺(tái)受這些惡意代碼感染的機(jī)器，預(yù)計(jì)還有上千臺(tái)潛在的受感染服務(wù)器。

“在*nix應(yīng)用領(lǐng)域當(dāng)中自動(dòng)更新技術(shù)還沒(méi)有被廣泛使用，絕大多數(shù)的網(wǎng)絡(luò)管理員和系統(tǒng)管理員都必須手動(dòng)管理并測(cè)試更新軟件，”三人在一份Virus Bulletin的技術(shù)報(bào)告中寫(xiě)道。

“對(duì)于普通站點(diǎn)來(lái)說(shuō)，嚴(yán)格的維護(hù)太過(guò)昂貴，通常網(wǎng)絡(luò)管理員并沒(méi)有機(jī)會(huì)這么做。這就意味著黑客可以輕易侵入有價(jià)值的服務(wù)器，然后在僵尸網(wǎng)絡(luò)中使用這些服務(wù)器。”

“混亂”通過(guò)一個(gè)遠(yuǎn)程文件包含(RFI)漏洞找到站點(diǎn)主機(jī)—甚至可以使用Google的/humans.txt來(lái)做測(cè)試。如果這一廣告巨頭更改這一文件，特別是更改握手信息的關(guān)鍵詞，那“混亂”的傳播就會(huì)慢下來(lái)，除非“rfiscan.so”又有更新。

如果惡意軟件攻擊一個(gè)RFI或者利用別的漏洞在肉雞上運(yùn)行一個(gè)PHP腳本，他就會(huì)拋出一個(gè)叫做“libworker.so”的東西到受感染的系統(tǒng)，開(kāi)始ping C&C服務(wù)器。

它能創(chuàng)建一個(gè)通常叫做sd0的隱藏的文件系統(tǒng)，下載八個(gè)從沒(méi)有被惡意軟件掃描器VirusTotal抓到的插件。這里面包含幾個(gè)暴力密碼破解器，可以影響到FTP, Wordpress ，Joomla和信息收集網(wǎng)絡(luò)爬蟲(chóng)，然后就可以進(jìn)一步的傳播這一惡意軟件。還有一個(gè)可利用能訪(fǎng)問(wèn)別的網(wǎng)站的RFI通道。

如圖所示是可被“混亂”盯上的部分網(wǎng)絡(luò)站點(diǎn)

Yandex網(wǎng)的三個(gè)人根據(jù)從被攻下的兩臺(tái)C&C 服務(wù)器上找到的數(shù)據(jù)分析之后，警告大家可能還有別的插件。其中就有一個(gè)可專(zhuān)門(mén)利用沒(méi)有打過(guò)OpenSSL的Heartbleed漏洞補(bǔ)丁的工具軟件。

他們還強(qiáng)調(diào)“混亂”的代碼與可攻擊Apache 和 Nginx服務(wù)器的 Trololo_mod和Effusion系列惡意軟件有相似之處。他們建議系統(tǒng)管理員檢查一下服務(wù)器來(lái)限制它的傳播。