5 月 16 日消息,，安全公司 ESET 近日發(fā)布報(bào)告，聲稱一款名為“Ebury”的“上古”僵尸網(wǎng)絡(luò)病毒已經(jīng)卷土重來,，相關(guān)僵尸網(wǎng)絡(luò)病毒從 2009 年就開始活動(dòng)，至今已感染約 40 萬臺(tái) Linux 主機(jī),。

研究人員對這款僵尸網(wǎng)絡(luò)近期的攻擊行動(dòng)進(jìn)行了分析,，發(fā)現(xiàn)黑客偏好針對服務(wù)器 VPS 供應(yīng)商進(jìn)行攻擊，此后再對供應(yīng)商旗下租用虛擬機(jī)的用戶發(fā)動(dòng)供應(yīng)鏈攻擊,。

從報(bào)告中獲悉,，黑客主要利用泄露的數(shù)據(jù)庫“撞庫”入侵服務(wù)器，一旦成功獲得目標(biāo)主機(jī)權(quán)限,，黑客便會(huì)部署一系列 SSH 腳本,，并試圖獲取相關(guān) VPS 中的密鑰，然后用于嘗試入侵其他服務(wù)器,。此外,，研究人員還發(fā)現(xiàn)黑客利用部分未能及時(shí)修復(fù)軟件漏洞的服務(wù)器進(jìn)一步提升權(quán)限。

而在成功控制受害服務(wù)器后,，黑客們利用地址解析協(xié)議（ARP）,，將受害服務(wù)器的 SSH 流量重定向至黑客方服務(wù)器，從而在第三方用戶登錄受害服務(wù)器提供的服務(wù)時(shí)截取獲得賬號(hào)密碼,，進(jìn)而進(jìn)行更多撞庫,。

研究人員指出，他們還發(fā)現(xiàn)黑客利用此僵尸網(wǎng)絡(luò)病毒傳播其他惡意木馬,，包括將受害服務(wù)器充當(dāng)代理服務(wù)器使用的 HelimodProxy,、重定向流量的 HelimodRedirect、可記錄網(wǎng)站表單內(nèi)容的 HelimodSteal,、將網(wǎng)站用戶重定導(dǎo)向至惡意 URL 的 KernelRedirect,，以及攔截 HTTP 請求的 FrizzySteal，據(jù)此研究人員呼吁服務(wù)器 VPS 提供商應(yīng)當(dāng)謹(jǐn)慎注意相關(guān)病毒入侵,。