華盛頓大學(xué)的安全研究員Andre DiMino注意到，多個(gè)IP地址試圖利用一個(gè)已修復(fù)PHP漏洞劫持Linux服務(wù)器，他很好奇攻擊者如何成功控制一臺(tái)Linux服務(wù)器，因此設(shè)立了一個(gè)蜜罐，運(yùn)行舊版本的PHP，讓攻擊者劫持，進(jìn)行觀察。

DiMino發(fā)現(xiàn)，攻擊者確實(shí)非常狡猾，發(fā)出了包含多個(gè)指令的HTTP POST請(qǐng)求，下載一個(gè)偽裝成PDF文件的Perl腳本，執(zhí)行之后刪除。為了確保成功，攻擊者使用curl、fetch、lwp-get請(qǐng)求重復(fù)上述步驟。

Perl腳本編程休眠一段時(shí)間，猜測(cè)可能是避開(kāi)管理員的耳目。最終被感染的機(jī)器連上一個(gè)中繼聊天頻道，下載執(zhí)行另一個(gè)腳本。

攻擊者在服務(wù)器上安裝了多個(gè)應(yīng)用，包括比特幣和素?cái)?shù)幣挖礦程序，DDoS工具，掃描其它存在已知漏洞的機(jī)器。隨著Linux服務(wù)器的流行，它和Windows PC一樣成為攻擊者眼中極具吸引力的目標(biāo)。