谷歌可分分钟减缓Mayhem传染速度

一款名为“混乱”(Mayhem)的恶意软件通过Linux和FreeBSD的网络服务器大肆传播。这烦人的软件用了一系列的插件来制造混乱，感染那些没有更新补丁的系统。谷歌则可以在分秒之间减缓他的传播速度。

供职于俄罗斯门户网站Yandex的Andrej Kovalev, Konstantin Ostrashkevich 和 Evgeny Sidorov发现了这一会感染*nix服务器的恶意软件。他们从一台受感染的机器的传输数据上追踪到了两台命令控制(C&C)服务器。他们已经发现了至少1400台受这些恶意代码感染的机器，预计还有上千台潜在的受感染服务器。

“在*nix应用领域当中自动更新技术还没有被广泛使用，绝大多数的网络管理员和系统管理员都必须手动管理并测试更新软件，”三人在一份Virus Bulletin的技术报告中写道。

“对于普通站点来说，严格的维护太过昂贵，通常网络管理员并没有机会这么做。这就意味着黑客可以轻易侵入有价值的服务器，然后在僵尸网络中使用这些服务器。”

“混乱”通过一个远程文件包含(RFI)漏洞找到站点主机—甚至可以使用Google的/humans.txt来做测试。如果这一广告巨头更改这一文件，特别是更改握手信息的关键词，那“混乱”的传播就会慢下来，除非“rfiscan.so”又有更新。

如果恶意软件攻击一个RFI或者利用别的漏洞在肉鸡上运行一个PHP脚本，他就会抛出一个叫做“libworker.so”的东西到受感染的系统，开始ping C&C服务器。

它能创建一个通常叫做sd0的隐藏的文件系统，下载八个从没有被恶意软件扫描器VirusTotal抓到的插件。这里面包含几个暴力密码破解器，可以影响到FTP, Wordpress ，Joomla和信息收集网络爬虫，然后就可以进一步的传播这一恶意软件。还有一个可利用能访问别的网站的RFI通道。

如图所示是可被“混乱”盯上的部分网络站点

Yandex网的三个人根据从被攻下的两台C&C 服务器上找到的数据分析之后，警告大家可能还有别的插件。其中就有一个可专门利用没有打过OpenSSL的Heartbleed漏洞补丁的工具软件。

他们还强调“混乱”的代码与可攻击Apache 和 Nginx服务器的 Trololo_mod和Effusion系列恶意软件有相似之处。他们建议系统管理员检查一下服务器来限制它的传播。