运行 Webmin 的 Linux 服务器出现了新的 Roboto 僵尸网络

       一个网络犯罪组织正在将运行易受攻击的 Webmin 应用程序（Linux 系统的基于 Web 的远程管理应用程序）的 Linux 服务器组建成一个新的僵尸网络，安全研究人员目前正在使用 Roboto 的名称对其进行跟踪。

       僵尸网络的出现可追溯到今年夏天，这与披露了一个在超过 215,000 台服务器上安装的 Web 应用程序中的一个重大安全漏洞的披露有关，这是构建僵尸网络的理想目标。

       早在八月，Webmin 背后的团队披露并修补了一个漏洞，该漏洞使攻击者能够以 root 权限运行恶意代码并接管旧版 Webmin。

       由于该安全漏洞易于利用，并且存在大量易受攻击的系统，因此，在漏洞披露后数天攻击者就开始对安装了 Webmin 的服务器进行攻击。

       在近日发布的一份报告中，中国网络安全、团队表示，这些早期攻击者之一是他们目前以 Roboto 的名义跟踪的新僵尸网络。在过去的三个月中，该僵尸网络一直以 Webmin 服务器为目标。

       根据研究团队的说法，僵尸网络的主要重点似乎是扩展，因为僵尸网络的规模不断扩大，但代码复杂性也在不断增加。

       目前，僵尸网络的主要功能似乎是 DDoS 功能。另一方面，虽然代码中包含了 DDoS 功能，但 Netlab 表示，他们从未见过僵尸网络进行任何 DDoS 攻击，并且僵尸网络运营商在过去几个月似乎主要集中在扩大僵尸网络的规模上。

       根据 Netlab 的说法，DDoS 功能可以通过诸如 ICMP、HTTP、TCP 和 UDP 的媒介发起攻击。但是，除了 DDoS 攻击之外，通过控制安装了具有 Webmin 漏洞的 Linux 系统上的 Roboto 机器人还可以：

       充当反向 shell，让攻击者在受感染的主机上运行 shell 命令

       从受感染的服务器收集系统，进程和网络信息

       将收集的数据上传到远程服务器

       运行 Linux system() 命令

       执行从远程 URL 下载的文件

       自行卸载

       其他罕见的 P2P 僵尸网络但上述功能并没有什么特别之处，因为许多其他物联网 /DDoS 僵尸网络都具有类似的功能——被认为是任何现代僵尸网络基础设施的基本功能。

       不过，Roboto 的独特之处在于它的内部结构。机器人被组织在对等（P2P）网络中，并从中央命令和控制（C&C;）服务器接收彼此的命令，而不是每个机器人连接到主 C&C;。

       根据 Netlab 的说法，大多数机器人都是僵尸，传递命令，但也有一些机器人被选中来支撑 P2P 网络或作为扫描器来搜索其他易受攻击的 Webmin 系统，以进一步扩展僵尸网络。

       P2P 结构值得注意，因为基于 P2P 的通信很少出现在 DDoS 僵尸网络中，已知使用 P2P 的只有 Hajime 和 Hide'N'Seek 僵尸网络。

       如果 Roboto 运营商不自行关闭僵尸网络，那么要将其关闭将是一项非常艰巨的任务。过去，摧毁 Hajime 僵尸网络的努力都失败了，据一位消息人士透露，僵尸网络仍在强劲发展，平均每天有 4 万个受感染的机器人，有时最高达到 9.5 万个。

       消息人士称，Roboto 是否能够达到这个规模还有待确定，但僵尸网络并不比 Hajime 大。