国家计算机病毒应急处理中心通过对互联网的监测,发现一种名为“Gafgyt”的僵尸网络正在针对运行Linux系统的服务器和IoT(物联网)设备进行感染和传播。攻击者通过批量扫描80、5555、60001等端口来发现易受攻击的Linux服务器、Android设备以及监控摄像头等IoT设备,随后利用ZeroShell远程代码执行漏洞(CVE-2019-12725)、bash shell等多种漏洞对目标进行攻击,攻击成功后植入Gafgyt家族僵尸网络木马,进而实现DDoS攻击(分布式拒绝服务攻击)、恶意挖矿等恶意行为。Gafgyt僵尸网络被认为是Mirai僵尸网络的前身,于2015年被首次发现。该僵尸网络利用Linux服务器和IoT设备上的常见的telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于Linux的IoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDP、TCP和HTTP攻击为主。目前该僵尸网络仍在不断感染国内更多设备,攻击者通过命令注入攻击的传播方式,使越来越多运行Linux系统的服务器和物联网设备成为Gafgyt僵尸网络的一部分,被用于执行DDoS攻击等恶意行为。 建议我国用户采取以下措施:一是对运行Linux系统的服务器和物联网设备的资源占用情况进行自查,及时发现是否感染;二是修改默认登陆凭证,避免被恶意软件实施暴力破解;三是对存在上述漏洞的物联网设备进行固件升级并定期修改登录凭证;四是监控进出设备的可疑流量,并配置网络安全策略,利用合理的网络规划进行安全域隔离限制僵尸网络进一步传播。