一般而言，黑客喜歡到處掃描漏洞然后安插惡意代碼的“抓肉雞”方法來組織僵尸網(wǎng)絡，發(fā)動拒絕服務（DoS）攻擊。

但是安全公司Imperva發(fā)現(xiàn)，他們多達300臺Web服務器組成的“蜜罐系統(tǒng)”最近遭到黑客入侵，服務器被重新配置，并組織針對Google搜索的攻擊。

Web服務器的帶寬通常相當大，如果形成一定規(guī)模，將可以組成相當可觀的攻擊流量，一臺服務器就可以打出相當于50臺PC的量，黑客的主要方法是找出 PHP、Web網(wǎng)頁上的脆弱部分針對運行Apache、IIS服務器端的系統(tǒng)進行攻擊，從而獲取控制權。
 

5月14日消息，據(jù)國外媒體報道，Imperva安全公司近日發(fā)現(xiàn)了一種發(fā)起新型DoS攻擊(拒絕服務器攻擊)的僵尸網(wǎng)絡。該僵尸網(wǎng)絡不像平常那樣利用PC而是盜用Web服務器來發(fā)起DoS攻擊。

Imperva安全公司星期三表示，其發(fā)現(xiàn)了一名為“Honeypot”的Web服務器被用來發(fā)起攻擊，他們順藤摸瓜發(fā)現(xiàn)了一個覆蓋約300部Web服務器的僵尸網(wǎng)絡，并且這個僵尸網(wǎng)絡以通過谷歌搜索攻擊代碼為基礎。Imperva首席技術主管阿瑪柴·舒爾曼(Amachai Shulman)表示，10年前Web服務器被廣泛用于這類攻擊，但是現(xiàn)在更普遍的是利用Windows操作系統(tǒng)的PC。

舒爾曼指出，在Imperva注意到的這次DoS攻擊中，兩部Web服務器正試圖對一家位于荷蘭的托管服務提供商進行攻擊，并且這家公司已發(fā)現(xiàn)了這種情況。很明顯，這些網(wǎng)絡服務器利用了PHP語言的一個漏洞，并且這些代碼對那些運行Apache、微軟因特網(wǎng)信息服務(IIS)及其他服務器軟件的服務器產(chǎn)生危害。攻擊者只是簡單的利用單一用戶接口，這個接口不僅允許攻擊者具體指定被攻擊者的IP地址和端口，而且可以確定攻擊時間的長短。根據(jù)舒曼提供的一個截圖顯示，被攻擊者的電腦屏幕上會出現(xiàn)一條印度尼西亞語，信息大意就是“不要對你的朋友進行此類攻擊”。

舒爾曼表示，這個名為“Exeman”的攻擊者通過使用提供匿名服務的Tor網(wǎng)絡來隱藏他(她)的行蹤。此外，黑客使用Web服務器的好處是與使用個人電腦相比，它為攻擊提供了更大的頻帶寬度，并且只需很少的“僵尸電腦”就能完成。而由于Web服務器通常不運行防毒軟件，這就大大降低了攻擊被發(fā)現(xiàn)的機率。

舒爾曼同時表示：“這樣一個服務器就可以代替50臺個人電腦的工作。從某種程度上說，使用服務器能夠更簡單的保持這種攻擊的持續(xù)性，因為攻擊過程使用的電腦越少，攻擊代碼被檢測到的幾率也就越低。”

當被問及這些攻擊的動機時，舒爾曼回答道，許多DoS攻擊都是為了對網(wǎng)站所有者進行敲詐。