这些攻击针对的是使用 ThinkPHP 构建的网站，ThinkPHP 是一个中国的 PHP 框架，在中国 Web 开发领域非常受欢迎。

所有攻击都是在中国网络公司 VulnSpy 在 ExploitDB 上发布了 ThinkPHP 的漏洞后开始的，这是一个免费托管验证漏洞代码的网站。

验证漏洞代码利用 ThinkPHP 的 invokeFunction 方法，在底层服务器执行恶意代码。该漏洞可以被远程利用，并且允许攻击者获得对服务器的控制权。

在12月11日，互联网上就开始出现相应的攻击。而且攻击次数在接下来的几点都在不断增加。

利用 ThinkPHP 漏洞就进行攻击的组织也不断增加。现在有：最初的网络攻击者、D3c3mb3r组织、以及使用 ThinkPHP 漏洞感染 Miori IoT 服务的服务器组织。

此外，NewSky Security 还发现有攻击者正在基于 ThinkPHP 站点运行 Microsoft Powershell命令。

D3c3mb3r组织是这些攻击者中团队规模最大的，专门攻击一些使用 ThinkPHP 不被关注的网站。但这个小组并没有做任何特别的事情，他们找到容易受攻击的主机，然后运行一个echo hello d3c3mb3r。

超过 45000个主机被攻击
根据 Shodan 搜索，目前有超过 45800 台机器运行 ThinkPHP 的 Web 网站可访问。其中40000 个 托管在中文 IP 地址上。

这也是为什么受到攻击的网站大部分是中文网站。

随着越来越多组织了解到这种入侵 Web 服务器的方法，对中国网站的攻击也将会不断增加。

F5 实验室还公布 ThinkPHP 漏洞技术分析和验证代码是如何工作的，点击这里查看。

原文来自：https://www.oschina.net/news/103047/thinkphp-bug-make-45000-site-be-attacked

本文地址：https://www.linuxprobe.com/thinkphp-safe.html编辑：public，审核员：逄增宝

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/