新闻链接：http://www.seehand.com/news/195.html
   新闻时间：2014/12/08
   新闻正文： 研究人员已经截获了CryptoPHP恶意软件所使用的指挥和控制（C&C）域名，并且确定已经有成千上万的网站受到了攻击。

荷兰安全公司Fox-IT在11月20日发表了一篇关于CryptoPHP恶意软件的报告。CryptoPHP恶意软件被用来劫持由Joomla、WordPress和Drupal技术支持的网站，并滥用这些网站作为黑客的搜索引擎优化。

攻击者通过将恶意软件植入流行的内容管理系统（CMS）的主题和插件程序来传播后门。一旦后门被安装在服务器上，恶意软件就可以被黑客手动控制，或者通过电子邮件和C&C通信来控制。

Fox-IT公司通过与国际反垃圾邮件组织Spamhaus、Abuse.cn公司、Shadowserver公司和荷兰国家网络安全中心NCSC合作，已经成功监测了这个攻击活动的演变过程。

通过截获恶意软件的C&C服务器，研究人员试图确定有多少特定的IP地址连接到该服务器。上周公布的总计数是23693个IP地址，但是专家表示已经看到连接到恶意软件服务器的IP地址数量正在下降。

11月22日，共截获到总计有20305个IP地址连接到恶意软件的服务器，但是截至11月24日，这个数字下降到了16786个。已经发现受到攻击最多的是美国8657个，德国2877个，法国1231个，荷兰1008个，土耳其749个。

Fox-IT公司的Yonathan Klijnsma在一篇博文中解释道，然而，这些数据并不准确，主要是因为连接到我们截获的服务器的地址数量是与至于一个或多个被安装后门的网站共享的。这意味着实际受到攻击的网站数量更多。

Klijnsma表示，荷兰国家网络安全中心NCSC正在试图强行关闭CryptoPHP攻击活动中所使用的服务器。然而，专家指出实现这样的操作通常需要很长一段时间。

研究人员一直无法确定每个受到攻击的网站是采用哪种内容管理系统CMS实现技术支持的。因为攻击者在受攻击服务器和C&C指挥和控制服务器的通信中使用了公共密码加密技术。根据Fox-IT公司所述，这些被用来传播CryptoPHP恶意软件的网站于11月23日下线，但是次日就又重新上线了。

上周，多个攻击威胁的新版本已经被发现，与它相关的内容也被添加到包含有CryptoPHP攻击威胁指示标志的GitHub库。Fox-IT安全公司已经更新Python设计语言工具，它可以被开发利用来帮助管理员发现攻击威胁。

Fox-IT公司也已经发表了关于如何删除受到攻击的网站的后门威胁的说明，但是公司建议管理员重装电脑的内容管理系统CMS，因为这个系统的完整性可能已经受到了破坏。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课