Elastix 系统被黑客大规模入侵以安装 PHP 后门Web Shell

安全分析人员发现了一场针对 基于Elastix VoIP 电话服务器的大规模活动,在三个月内有超过 500,000 个案例被入侵。

Elastix 是用于统一通信(Internet 协议专用分支交换 [IP PBX]、电子邮件、即时消息、传真)的服务器软件,可与FreePBX的Digium 电话模块一起使用。

攻击者可能利用了标识为 CVE-2021-45461的远程代码执行 (RCE) 漏洞,其严重性等级为 9.8(满分 10)。

自 2021 年 12 月以来,攻击者一直在利用此漏洞,最近的活动似乎与安全问题有关。

Palo Alto Networks 的 Unit 42 安全研究人员表示,攻击者的目标是植入一个 PHP Web shell,可以在受感染的通信服务器上运行任意命令。

研究人员在周五的一份报告中,黑客在 2021 年 12 月至 2022 年 3 月期间部署了“该家族的超过 500,000 个独特的恶意软件样本”。

该活动仍然活跃,与网络安全公司 Check Point的研究人员报告的 2020 年另一项行动有一些相似之处。

攻击细节

研究人员观察到两个攻击组使用不同的初始利用脚本来删除小型 shell 脚本。该脚本在目标设备上安装 PHP 后门,并创建 root 用户帐户,并通过计划任务确保持久性。

用于初始妥协的两个脚本之一
用于初始妥协的两个脚本之一 (Palo Alto Networks)

“这个 dropper 还试图通过将已安装的 PHP 后门文件的时间戳伪装成系统上已经存在的已知文件的时间戳来融入现有环境,”安全研究人员指出。

这两个组织的攻击者的 IP 地址都位于荷兰,而 DNS 记录显示了几个俄罗斯成人网站的链接。目前,部分有效载荷交付基础设施仍保持在线和运行状态。

由第一个脚本创建的计划任务每​​分钟运行一次,以获取经过 base64 编码的 PHP Web shell,并且可以管理传入 Web 请求中的以下参数:

  • md5 – 用于远程登录和 Web shell 交互的 MD5 身份验证哈希。
  • admin – 在 Elastic 和 Freepbx 管理员会话之间进行选择。
  • cmd – 远程运行任意命令
  • call – 从 Asterisk 命令行界面 (CLI) 启动呼叫

主题测试文章,只做测试使用。发布者:zhangyang,转转请注明出处:https://www.voip88.com/elastix-%e7%b3%bb%e7%bb%9f%e8%a2%ab%e9%bb%91%e5%ae%a2%e5%a4%a7%e8%a7%84%e6%a8%a1%e5%85%a5%e4%be%b5%e4%bb%a5%e5%ae%89%e8%a3%85-php-%e5%90%8e%e9%97%a8web-shell/

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年 8月 25日 下午6:48
下一篇 2022年 8月 26日 上午10:58

相关推荐

  • 2022 年VoIP通信市场份额、增长、适应和趋势

    当代商业环境需要一种全球性的方法来与消费者和员工建立联系。VoIP软件或互联网协议语音已被证明是许多行业更方便的选择。它在 1990 年代更受欢迎。对于许多企业来说,它更具成本效益,并且除了 VoIP 服务和互联网接入之外,它不会支付额外费用。过去几年,互联网协议语音市场迅速扩大。在这里,我们将讨论一些重要的 VoIP统计数据和数据,以了解多年来 VoIP 的大规模增长。

    2022年 8月 26日
    8300
  • “帮信”就是犯罪!沾化公安侦破一起使用“VOIP”帮助实施诈骗案件

    近日,滨州市公安局沾化分局成功侦破一起使用“VOIP”帮助实施诈骗案件,抓获犯罪嫌疑人1名,摧毁两处利用VOIP设备帮助实施电信网络诈骗的窝点,当场扣押VOIP设备、座机电话、路由器一宗。   办案民警通过对涉嫌诈骗电话号码的线索进行核查,发现犯罪嫌疑人李某某利用VOIP语音网关,通过自己在某村出租屋内开户的两个座机号码和宽带网络协助电信诈骗团伙作案。   …

    2022年 8月 26日
    10000

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信
自6.2开始主题新增页头通知功能,购买用户可免费升级到最新版体验