近日,腾讯御见威胁情报中心感知到,北京某互娱公司所属手游官网因使用phpStudy配置不当遭网络攻击。不法黑客植入挖矿木马挖取门罗币的同时,还利用Ghost远程控制木马的变种完全控制用户电脑,窃取玩家隐私。目前,腾讯电脑管家已对该违规行为进行拦截查杀。
(图:某互娱公司所属手游官网)
据了解,phpStudy是一个PHP调试环境的程序集成包,主要集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,其不仅包括PHP调试环境,还包括了开发工具、开发手册等。因具备一次性安装、无须配置即可使用的特点,phpStudy深受网站开发者喜爱,尤其是入门级别的开发人员。
此次攻击事件中,管理员对使用phpStudy搭建配置不正确,成为不法黑客入侵的主要原因。据腾讯电脑管家安全专家分析,不法黑客通过工具对其官网服务器phpMyadmin后台管理登录页面进行弱口令猜解,猜解成功后,并写入webshell,通过getshell执行下载挖矿木马进行挖矿。
经过对该挖矿木马进行溯源分析,在不法黑客服务器主页上发现其个人社交资料,与挖矿配置文件中的社交信息吻合,确定下载服务器为其个人所有。同时还发现其云盘中也存放着多个黑客利用工具,甚至包括16年在渗透吧就曾交流过phpMyadmin入侵提权方法,进一步推测该作者黑产惯犯身份。
