安全研究人员 Jonathan Hall近日声称发现了一个罗马尼亚黑客搭建的僵尸网络，利用Shellshock漏洞控制了大量知名互联网公司的服务器，包括雅虎和压缩工具软件WinZip的官网。

Jonathan Hall最近发布了雅虎服务器的漏洞报告，并透露雅虎已经承认有两台游戏服务器（dip4.gq1.yahoo.com和api118.sports.gq1.yahoo.com）被僵尸网络入侵并取得root权限。

据Hall透露，发现雅虎僵尸服务器事出偶然。当时Hall正在追踪扫描Hall所在公司服务器CGI服务器脚本Shellshock漏洞的请求，利用该漏洞攻击者可以向服务器操作系统发送指令，从而远程控制服务器。Hall追踪攻击扫描至WinZip.com的一台服务器，然后Hall也利用bash漏洞入侵了该服务器，并在服务器活动进程中发现一个名为ha.pl的Perl脚本。

通过分析该脚本内容，Hall发现这是一个类似在IRC服务器上发起DDoS攻击的IRC僵尸网络，但进一步分析后Hall发现该僵尸网络更加强调通过shell互动对服务器的远程控制，通过IRC代码向一个IRC频道汇报，内容中有大量的罗马尼亚文。

Hall随后使用Perl脚本中获得的信息连上了僵尸网络的IRC通讯频道，通过对IRC流量的监控，Hall发现很多bot流量来自一些大型互联网公司的服务器，包括lycos.com和yahoo.com。

Hall还通过Google搜索发现大量存在Shellshock漏洞的网站服务器都成了这个僵尸网络的一部分。Hall表示：

通过Google搜索发现，几乎每个没有修补漏洞的网站在cig-bin或/tmp或/var/tmp目录中包含了一个用于连接IRC命令控制服务器的.pl脚本。其中一些脚本有自扩散能力，类似google搜索，但是功能更加专一，至搜索特定的域名后缀例如.com\.nz\.co.uk\.jp等。

Hall的发现表明，bash shellshock漏洞已经开始被黑客广泛利用，攻击者利用Google搜索等工具发现服务器漏洞并大量植入后门。需要担心的不仅仅是大型互联网公司的安全团队，个人用户也需要提防Shellshock漏洞的冲击。FireEye已经发出警告，黑客正利用Bash Shellshock补丁窗口期针对QNAP NAS等嵌入式设备进行攻击。