杀毒软件公司Eset的研究人员披露了一个正在进行中的恶意程序攻击,被取名为 Operation Windigo(PDF) 的恶意攻击感染了超过1万台Linux和Unix服务器,这些服务器被用于发送大量垃圾信息,重定向用户到恶意网页。
Windigo的活跃至少始于 2011年,入侵的系统包括了属于Linux基金会的kernel.org和cPanel Web的服务器。在三年时间内, Windigo感染了超过2.5万台服务器,每天发送3500万垃圾信息,对Windows的访问者发动偷渡下载攻击,向用户展示色情服务横幅广告。其中 值得一提的是对kernel.org的攻击,至今Linux基金会还没有提供关于此次攻击的完整报告。
Eset的报告称,kernel.org服务器感染 的可能是OpenSSH后门恶意程序Linux/Ebury,Ebury能在被感染的服务器上提供root访问权限,能用于窃取SSH凭证。
除了 Linux/Ebury外,Windigo的其它恶意组件包括Linux/Cdorked,用于重定向访问者到恶意网页的 HTTP后门;Perl/Calfbot,一个Perl脚本,可让被感染的机器发送垃圾信息。Windigo不是靠漏洞控制服务器,而是使用偷来的登录凭 证。研究人员建议服务器登录应该启用二步验证。
负责调查的Eset研究人员警告说Windigo攻击活动的危害性比人们想象的要严重的多:
虽然被Windigo攻击感染的服务器数量与最近动辄感染数百万台电脑终端的恶意软件相比似乎危害不大,但是要知道一点,windigo感染的都是服务器,这些服务器通常都有成千上万的用户在使用,覆盖的资源例如带宽、存储和计算比普通的个人电脑大得多。通过一千台服务器发起的DDoS攻击比同样数量的个人电脑威力大得多。
