一款名為“混亂”(Mayhem)的惡意軟件通過Linux和FreeBSD的網(wǎng)絡(luò)服務(wù)器大肆傳播。這煩人的軟件用了一系列的插件來制造混亂，感染那些沒有更新補(bǔ)丁的系統(tǒng)。谷歌則可以在分秒之間減緩他的傳播速度。

供職于俄羅斯門戶網(wǎng)站Yandex的Andrej Kovalev, Konstantin Ostrashkevich 和 Evgeny Sidorov發(fā)現(xiàn)了這一會感染*nix服務(wù)器的惡意軟件。他們從一臺受感染的機(jī)器的傳輸數(shù)據(jù)上追蹤到了兩臺命令控制(C&C)服務(wù)器。他們已經(jīng)發(fā)現(xiàn)了至少1400臺受這些惡意代碼感染的機(jī)器，預(yù)計(jì)還有上千臺潛在的受感染服務(wù)器。

“在*nix應(yīng)用領(lǐng)域當(dāng)中自動更新技術(shù)還沒有被廣泛使用，絕大多數(shù)的網(wǎng)絡(luò)管理員和系統(tǒng)管理員都必須手動管理并測試更新軟件，”三人在一份Virus Bulletin的技術(shù)報(bào)告中寫道。

“對于普通站點(diǎn)來說，嚴(yán)格的維護(hù)太過昂貴，通常網(wǎng)絡(luò)管理員并沒有機(jī)會這么做。這就意味著黑客可以輕易侵入有價(jià)值的服務(wù)器，然后在僵尸網(wǎng)絡(luò)中使用這些服務(wù)器。”

“混亂”通過一個(gè)遠(yuǎn)程文件包含(RFI)漏洞找到站點(diǎn)主機(jī)—甚至可以使用Google的/humans.txt來做測試。如果這一廣告巨頭更改這一文件，特別是更改握手信息的關(guān)鍵詞，那“混亂”的傳播就會慢下來，除非“rfiscan.so”又有更新。

如果惡意軟件攻擊一個(gè)RFI或者利用別的漏洞在肉雞上運(yùn)行一個(gè)PHP腳本，他就會拋出一個(gè)叫做“libworker.so”的東西到受感染的系統(tǒng)，開始ping C&C服務(wù)器。

它能創(chuàng)建一個(gè)通常叫做sd0的隱藏的文件系統(tǒng)，下載八個(gè)從沒有被惡意軟件掃描器VirusTotal抓到的插件。這里面包含幾個(gè)暴力密碼破解器，可以影響到FTP, Wordpress ，Joomla和信息收集網(wǎng)絡(luò)爬蟲，然后就可以進(jìn)一步的傳播這一惡意軟件。還有一個(gè)可利用能訪問別的網(wǎng)站的RFI通道。

如圖所示是可被“混亂”盯上的部分網(wǎng)絡(luò)站點(diǎn)

Yandex網(wǎng)的三個(gè)人根據(jù)從被攻下的兩臺C&C 服務(wù)器上找到的數(shù)據(jù)分析之后，警告大家可能還有別的插件。其中就有一個(gè)可專門利用沒有打過OpenSSL的Heartbleed漏洞補(bǔ)丁的工具軟件。

他們還強(qiáng)調(diào)“混亂”的代碼與可攻擊Apache 和 Nginx服務(wù)器的 Trololo_mod和Effusion系列惡意軟件有相似之處。他們建議系統(tǒng)管理員檢查一下服務(wù)器來限制它的傳播。