5 月 16 日消息，安全公司 ESET 近日发布报告，声称一款名为“Ebury”的“上古”僵尸网络病毒已经卷土重来，相关僵尸网络病毒从 2009 年就开始活动，至今已感染约 40 万台 Linux 主机。

研究人员对这款僵尸网络近期的攻击行动进行了分析，发现黑客偏好针对服务器 VPS 供应商进行攻击，此后再对供应商旗下租用虚拟机的用户发动供应链攻击。

从报告中获悉，黑客主要利用泄露的数据库“撞库”入侵服务器，一旦成功获得目标主机权限，黑客便会部署一系列 SSH 脚本，并试图获取相关 VPS 中的密钥，然后用于尝试入侵其他服务器。此外，研究人员还发现黑客利用部分未能及时修复软件漏洞的服务器进一步提升权限。

而在成功控制受害服务器后，黑客们利用地址解析协议（ARP），将受害服务器的 SSH 流量重定向至黑客方服务器，从而在第三方用户登录受害服务器提供的服务时截取获得账号密码，进而进行更多撞库。

研究人员指出，他们还发现黑客利用此僵尸网络病毒传播其他恶意木马，包括将受害服务器充当代理服务器使用的 HelimodProxy、重定向流量的 HelimodRedirect、可记录网站表单内容的 HelimodSteal、将网站用户重定导向至恶意 URL 的 KernelRedirect，以及拦截 HTTP 请求的 FrizzySteal，据此研究人员呼吁服务器 VPS 提供商应当谨慎注意相关病毒入侵。