5 月 16 日消息，安全公司 ESET 近日發布報告，聲稱一款名為“Ebury”的“上古”僵尸網絡病毒已經卷土重來，相關僵尸網絡病毒從 2009 年就開始活動，至今已感染約 40 萬臺 Linux 主機。

研究人員對這款僵尸網絡近期的攻擊行動進行了分析，發現黑客偏好針對服務器 VPS 供應商進行攻擊，此后再對供應商旗下租用虛擬機的用戶發動供應鏈攻擊。

從報告中獲悉，黑客主要利用泄露的數據庫“撞庫”入侵服務器，一旦成功獲得目標主機權限，黑客便會部署一系列 SSH 腳本，并試圖獲取相關 VPS 中的密鑰，然后用于嘗試入侵其他服務器。此外，研究人員還發現黑客利用部分未能及時修復軟件漏洞的服務器進一步提升權限。

而在成功控制受害服務器后，黑客們利用地址解析協議（ARP），將受害服務器的 SSH 流量重定向至黑客方服務器，從而在第三方用戶登錄受害服務器提供的服務時截取獲得賬號密碼，進而進行更多撞庫。

研究人員指出，他們還發現黑客利用此僵尸網絡病毒傳播其他惡意木馬，包括將受害服務器充當代理服務器使用的 HelimodProxy、重定向流量的 HelimodRedirect、可記錄網站表單內容的 HelimodSteal、將網站用戶重定導向至惡意 URL 的 KernelRedirect，以及攔截 HTTP 請求的 FrizzySteal，據此研究人員呼吁服務器 VPS 提供商應當謹慎注意相關病毒入侵。