网络安全研究人员揭露了一项新的活动,该活动以运行基于 PHP 应用程序的网络服务器为目标,目的是在印度尼西亚推广赌博平台。"在过去的两个月里,我们观察到了大量来自基于 Python 的机器人的攻击,这表明有人在协调努力,利用成千上万的网络应用程序,"Imperva 研究人员丹尼尔-约翰斯顿(Daniel Johnston)在一份分析报告中说。 "这些攻击似乎与赌博相关网站的激增有关,可能是对政府加强监管的一种回应。"这家泰雷兹旗下的公司表示,它已检测到数百万个来自 Python 客户端的请求,其中包括一条安装 GSocket(又名 Global Socket)的命令,这是一种开源工具,可用于在两台机器之间建立通信通道,不受网络边界的限制。
值得注意的是,最近几个月,GSocket 已被用于许多加密劫持行动,更不用说利用该工具提供的访问权限在网站上插入恶意 JavaScript 代码以窃取支付信息了。 这些攻击链尤其涉及试图利用安装在已被入侵服务器上的预存 Web 外壳来部署 GSocket。 值得注意的是,这些攻击会添加到 bashrc 和 crontab 系统文件中,以确保 GSocket 在移除 Web shell 后仍能正常运行。
已经确定,GSocket 对这些目标服务器的访问权限已被武器化,可传送包含 HTML 内容的 PHP 文件,这些 HTML 内容特别针对印尼用户的在线赌博服务。"每个 PHP 文件的顶部都有 PHP 代码,旨在只允许搜索机器人访问页面,而普通网站访问者将被重定向到另一个域,"Johnston 说。 "Imperva 说,这些重定向指向 "pktoto[.]cc",一个已知的印尼赌博网站。
信息来源:https://thehackernews.com/2025/01/python-based-bots-exploiting-php.html