一款名為“混亂”(Mayhem)的惡意軟件通過Linux和FreeBSD的網(wǎng)絡服務器大肆傳播。這煩人的軟件用了一系列的插件來制造混亂，感染那些沒有更新補丁的系統(tǒng)。谷歌則可以在分秒之間減緩他的傳播速度。

供職于俄羅斯門戶網(wǎng)站Yandex的Andrej Kovalev, Konstantin Ostrashkevich 和 Evgeny Sidorov發(fā)現(xiàn)了這一會感染*nix服務器的惡意軟件。他們從一臺受感染的機器的傳輸數(shù)據(jù)上追蹤到了兩臺命令控制(C&C)服務器。他們已經(jīng)發(fā)現(xiàn)了至少1400臺受這些惡意代碼感染的機器，預計還有上千臺潛在的受感染服務器。

“在*nix應用領域當中自動更新技術還沒有被廣泛使用，絕大多數(shù)的網(wǎng)絡管理員和系統(tǒng)管理員都必須手動管理并測試更新軟件，”三人在一份Virus Bulletin的技術報告中寫道。

“對于普通站點來說，嚴格的維護太過昂貴，通常網(wǎng)絡管理員并沒有機會這么做。這就意味著黑客可以輕易侵入有價值的服務器，然后在僵尸網(wǎng)絡中使用這些服務器。”

“混亂”通過一個遠程文件包含(RFI)漏洞找到站點主機—甚至可以使用Google的/humans.txt來做測試。如果這一廣告巨頭更改這一文件，特別是更改握手信息的關鍵詞，那“混亂”的傳播就會慢下來，除非“rfiscan.so”又有更新。

如果惡意軟件攻擊一個RFI或者利用別的漏洞在肉雞上運行一個PHP腳本，他就會拋出一個叫做“libworker.so”的東西到受感染的系統(tǒng)，開始ping C&C服務器。

它能創(chuàng)建一個通常叫做sd0的隱藏的文件系統(tǒng)，下載八個從沒有被惡意軟件掃描器VirusTotal抓到的插件。這里面包含幾個暴力密碼破解器，可以影響到FTP, Wordpress ，Joomla和信息收集網(wǎng)絡爬蟲，然后就可以進一步的傳播這一惡意軟件。還有一個可利用能訪問別的網(wǎng)站的RFI通道。

如圖所示是可被“混亂”盯上的部分網(wǎng)絡站點

Yandex網(wǎng)的三個人根據(jù)從被攻下的兩臺C&C 服務器上找到的數(shù)據(jù)分析之后，警告大家可能還有別的插件。其中就有一個可專門利用沒有打過OpenSSL的Heartbleed漏洞補丁的工具軟件。

他們還強調(diào)“混亂”的代碼與可攻擊Apache 和 Nginx服務器的 Trololo_mod和Effusion系列惡意軟件有相似之處。他們建議系統(tǒng)管理員檢查一下服務器來限制它的傳播。