文/李建興|2025-07-20發表
資安廠商Vulncheck發現有攻擊者利用Apache HTTP Server的高風險漏洞,入侵伺服器部署加密貨幣挖礦惡意軟體Linuxsys。這波攻擊行動持續時間長且手法隱蔽,影響範圍涵蓋約400臺主機,研究人員提醒企業應修補相關漏洞強化監控,以防主機遭到入侵濫用。
攻擊行動鎖定的是Apache HTTP Server於2021年被發現的高風險漏洞CVE-2021-41773,該漏洞容易被遠端攻擊者利用,並可繞過權限控管。研究人員表示,駭客透過自動化腳本,結合多個漏洞進行攻擊,先取得目標主機權限,再下載並執行名為Linuxsys的挖礦程式,進行加密貨幣運算。
這波攻擊最大的特點,是攻擊者並非直接從自己架設的主機散布惡意程式,而是先入侵第三方的合法網站,將惡意腳本和執行檔偷偷放進這些網站的目錄下。攻擊腳本會利用curl或wget等工具,自動從這些被入侵的網站下載設定檔和主要程式,並且設計成如果一個網站下載失敗,會自動嘗試從其他被入侵的網站再下載一次,這樣不僅提高攻擊成功率,也更難被偵測發現。此外,這些腳本還會自動建立排程,讓挖礦程式在系統重開機後也會自動執行,確保攻擊長期有效。
研究人員提到,被植入的Linuxsys程式會將受害主機運算資源導向Monero(XMR)加密貨幣礦池,例如hashvault.pro等,利用XMRig進行加密貨幣挖礦。攻擊者所掌控的礦工數量約在400臺主機左右,每日平均收益雖僅約0.024 XMR,折合新臺幣約數百元,規模並不算大,但由於手法長期且隱蔽,還會持續利用多個漏洞更新感染主機來源,對於未修補系統的企業與主機營運商而言,是一個不容忽視的風險。
值得注意的是,攻擊活動可能不僅限於Linux平臺,研究人員發現,部分被入侵的合法網站同時被放置了Windows平臺的惡意執行檔,顯示攻擊者具備跨平臺行動能力,不過,目前仍以Linux環境為主要攻擊目標。
線