近期，騰訊安全御見威脅情報中心監測到某教育 科技 機構服務器遭到ThinkPHP V5* 遠程代碼執行漏洞攻擊。經分析，病毒作者主要參考Mirai和Gafgyt源代碼的變種病毒，直接開發Mirai蠕蟲病毒的兩個版本，分別針對PC服務器和物聯網等智能設備發起攻擊。一般中毒后的系統會成為僵尸網絡的一部分，受不法黑客控制向目標計算機發起DDoS攻擊，以此獲取 經濟 報酬。

攻擊爆發之后，騰訊御界高級威脅檢測系統第一時間通過對企業內外網邊界處網絡流量分析，成功感知漏洞的利用和攻擊。據了解，騰訊“御界”是基于騰訊安全反病毒實驗室的安全能力、依托騰訊在云和端的海量數據，研發出獨特的威脅情報和惡意檢測模型系統，可幫助企業用戶及時感知惡意流量，檢測釣魚網址和遠控服務器地址在企業網絡中的訪問情況，全面保護企業網絡安全。

（圖：騰訊御界高級威脅檢測系統）

事實上，早在去年12月9日，ThinkPHP官方發布安全更新，公布了遠程命令執行的高危漏洞(CNVD-2018-24942)。不法黑客利用此漏洞可以批量入侵企業網站，直接影響網站服務器ThinkPHP 5.0.23以下版本。由于此次中毒科技教育機構的網站服務器采用ThinkPHP版本為5.1.30，屬于受影響版本范圍。

（圖：ThinkPHP 5.1.30版本）

作為一個整體開發解決方案，ThinkPHP支持windows、Unix、Linux等服務器環境，以及支持MySql、PgSQL、Sqlite多種數據庫和PDO擴展，主要服務簡化企業級應用開發和敏捷WEB應用開發者。自2006年初誕生以來，ThinkPHP秉承簡潔實用的設計原則，受到眾多開發者的熱捧。根據國家信息安全漏洞共享平臺探測數據，全球使用ThinkPHP框架的服務器規模共計有4.3萬臺，其中，中國、美國和加拿大位居前三。

據騰訊安全技術專家介紹，Mirai病毒最早出現在2016年，通過感染可訪問網絡的消費級電子設備，以達到組建僵尸網絡進行大規模網絡攻擊的目的。盡管當前開發Mirai病毒作者已經落網，但Mirai的源代碼以開源的形式已發布至各大黑客論壇，其中的技術也已被一些惡意軟件采用，導致其危害仍在延續擴散。截至目前，Mirai構建的僵尸網絡已經參與了幾次影響廣泛的DDoS攻擊，包括2016年9月20日針對計算機安全撰稿人布萊恩·克萊布斯個人網站的攻擊、對法國網站托管商OVH的攻擊，以及2016年10月Dyn公司網絡攻擊事件。

在國內，騰訊安全御見威脅情報中心對Mirai病毒進行持續監測，曾于去年12月28日發現其利用SQL Server弱密碼進行暴力入侵的病毒攻擊事件，被入侵的服務器被安裝暗云感染器、Mykings木馬、以及Mirai病毒變種。值得一提的是，該Mirai變種具有針對閉路電視物聯網設備漏洞進行攻擊的能力，而此次發現的變種將最新ThinkPHP高危漏洞、多種路由器漏洞、upnp設備漏洞進行組合攻擊，感染能力再次增強。

此外，騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大企業用戶，務必提高網絡安全防范意識，建議盡快更新ThinkPHP到最新版本。同時推薦使用騰訊御界高級威脅檢測系統，可有效檢測此類漏洞入侵攻擊。