Shellshock 漏洞面臨失控，雅虎和WinZip中招

安全研究人員 Jonathan Hall近日聲稱發現了一個羅馬尼亞黑客搭建的僵尸網絡，利用Shellshock漏洞控制了大量知名互聯網公司的服務器，包括雅虎和壓縮工具軟件WinZip的官網。

Jonathan Hall最近發布了雅虎服務器的漏洞報告，并透露雅虎已經承認有兩臺游戲服務器（dip4.gq1.yahoo.com和api118.sports.gq1.yahoo.com）被僵尸網絡入侵并取得root權限。

據 Hall透露，發現雅虎僵尸服務器事出偶然。當時Hall正在追蹤掃描Hall所在公司服務器CGI服務器腳本Shellshock漏洞的請求， 利用該漏洞攻擊者可以向服務器操作系統發送指令，從而遠程控制服務器。Hall追蹤攻擊掃描至WinZip.com的一臺服務器，然后Hall也利用 bash漏洞入侵了該服務器，并在服務器活動進程中發現一個名為ha.pl的Perl腳本。

通過分析該腳本內容，Hall發現這是一個類似在IRC服務器上發起DDoS攻擊的IRC僵尸網絡，但進一步分析后Hall發現該僵尸網絡更加強調通過shell互動對服務器的遠程控制，通過IRC代碼向一個IRC頻道匯報，內容中有大量的羅馬尼亞文。

Hall隨后使用Perl腳本中獲得的信息連上了僵尸網絡的IRC通訊頻道，通過對IRC流量的監控，Hall發現很多bot流量來自一些大型互聯網公司的服務器，包括lycos.com和yahoo.com。

Hall還通過Google搜索發現大量存在Shellshock漏洞的網站服務器都成了這個僵尸網絡的一部分。Hall表示：

通 過Google搜索發現，幾乎每個沒有修補漏洞的網站在cig-bin或/tmp或/var/tmp目錄中包含了一個用 于連接IRC命令控制服務器的.pl腳本。其中一些腳本有自擴散能力，類似google搜索，但是功能更加專一，至搜索特定的域名后綴例 如.com\.nz\.co.uk\.jp等。

Hall的發現表明，bash shellshock漏洞已經開始被黑客廣泛利用，攻擊者利用Google搜索等工具發現服務器漏洞并大量植入后門。需要擔心的不僅僅是大型互聯網公司的 安全團隊，個人用戶也需要提防Shellshock漏洞的沖擊。FireEye已經發出警告，黑客正利用Bash Shellshock補丁窗口期針對QNAP NAS等嵌入式設備進行攻擊。

來自IT經理網