文/常明星 來源/PAnews

據騰訊禦見威脅情報中心,近日有黑客利用疑似Weblogic反序列化漏洞入侵服務器進行挖礦,漏洞攻擊成功後會下載安裝挖礦木馬Real.exe。服務器一旦感染此木馬,將會變為黑客的“挖礦機”,嚴重消耗機器資源,影響日常工作運轉。目前,該木馬已感染近萬台服務器,北上廣三省市成為感染該木馬的“重災區”。

其實,因Web應用服務器出現漏洞,致使企業服務器淪為黑客的“採礦機”事件,已經不是第一次了。

就在今年一月,SANS技術研究所和Morphus實驗室的專家稱,一群黑客闖入了甲骨文WebLogic服務器並安裝一個加密貨幣挖礦機,最後獲得了至少611個門羅幣(Monero),當時價值超過22.6萬美元。

此次給了黑客可乘之機的,是早在被攻擊前一個月就披露過的WebLogic漏洞-POC。

安全人士稱,這不是一次針對性的攻擊,當一個漏洞披露之後,任何具有相當腳本能力的人都能參與發動攻擊。因為它的嚴重性評分為9.8(危險程度極高),這意味著黑客很容易通過互聯網在企業服務器上執行惡意代碼並接管底層機器。

POC漏洞早在2017年12月份就被360網絡安全研究院(Netlab)公佈,幾乎就在公佈當天,便有關於黑客利用它來安裝惡意加密貨幣挖礦機的報導出現。有報導稱,安全專家發現POC公佈後,約10萬IP在不到三天時間瘋狂掃描存在漏洞的路由器。

不管是POC漏洞還是此次的反序列化漏洞,Weblogic的漏洞頻出都應該讓企業警覺到應用程序服務器的潛在風險。 WebLogic作為一種管理大型Web應用和數據庫應用的服務器,當出現相當程度的漏洞時,攻擊者可輕鬆利用其權限來對企業網絡的全面訪問。這兩次攻擊者入侵事件的受害者,也幾乎都是企業。