【安全圈】GoBruteforcer 僵尸網絡全球攻擊 Linux 服務器，5 萬臺公網服務器面臨風險

關鍵詞

僵尸網絡

一款名為GoBruteforcer的高復雜度 Go 語言僵尸網絡，正針對全球范圍內的 Linux 服務器發起猛烈攻擊，通過暴力破解手段嘗試獲取 FTP、MySQL、PostgreSQL 及 phpMyAdmin 等公網暴露服務的弱密碼。

Check Point Research近期記錄到該惡意軟件的 2025 年變種版本，其技術水平較之前版本實現大幅升級，已成功攻陷數萬臺服務器。

該僵尸網絡采用模塊化感染鏈架構，核心組件包含網頁后門、下載器、互聯網中繼聊天（IRC）僵尸程序以及暴力破解模塊。

據切克波因特的分析數據顯示，全球超5 萬臺公網暴露服務器或面臨高布魯特福瑟攻擊風險，目前有近 570 萬臺 FTP 服務器、223 萬臺 MySQL 服務器及 56 萬臺 PostgreSQL 服務器在默認端口上暴露。

人工智能生成服務器配置成攻擊推手

本輪GoBruteforcer攻擊浪潮的爆發，主要源于兩大關鍵因素：一是大量運維人員直接復用人工智能生成的服務器部署示例，這類配置模板普遍存在通用用戶名與弱默認密碼問題；二是 XAMPP 等老舊網站集成環境仍被廣泛使用，其搭載的各類服務缺乏基礎加固措施。

研究人員發現，該僵尸網絡在暴力破解的憑證列表中，大量使用 “appuser”“myuser” 等通用運維用戶名，而這些用戶名恰好是大型語言模型在生成數據庫配置示例時最常推薦的默認名稱。

切克波因特的調查顯示，高布魯特福瑟使用的憑證列表，與一個包含 1000 萬條泄露密碼的數據庫存在約2.44% 的重合度。

盡管這一匹配成功率看似較低，但龐大的暴露服務基數，使得暴力破解攻擊對威脅行為體而言具備極高的經濟效益。谷歌 2024 年《云威脅態勢報告》指出，在遭攻陷的云環境中，47.2% 的初始入侵路徑均源于弱密碼或缺失身份驗證機制，這也印證了此類攻擊手段的可行性。

僵尸網絡的命令與控制服務器會下發包含 200 組憑證的列表用于暴力破解任務，且攻擊配置文件每周會更新數次。

密碼列表的生成邏輯十分固定，僅基于 375-600 個常用弱密碼構成基礎庫，再衍生出 “appuser1234”“operatoroperator” 等基于用戶名變體的密碼組合。

相較于 2023 年首次被記錄的早期版本，2025 年變種版本實現多項重大技術升級：其 IRC 僵尸程序組件已完全基于 Go 語言重構，并使用加布勒混淆工具（Garbler）進行深度代碼混淆，徹底取代了原先基于 C 語言的開發架構。

該惡意軟件還新增進程偽裝技術，通過調用prctl系統調用將自身進程名修改為 “init”，并對二進制文件進行覆蓋處理，以此躲避安全檢測。

研究人員還發現一個以加密貨幣斂財為目標的攻擊活動，威脅行為體在攻陷服務器后，會部署額外的 Go 語言工具集，其中包含針對波場（TRON）及幣安智能鏈的挖礦程序與錢包竊取工具。

在一臺被攻陷的服務器上，調查人員提取到一個包含約 2.3 萬個波場錢包地址的文件，并通過鏈上交易數據分析證實，這批攻擊已成功實現經濟收益。

該僵尸網絡通過多重機制保障自身的抗打擊能力：內置備用 C2 服務器地址、基于域名的故障恢復路徑，以及將已感染主機升級為分發節點或 IRC 中繼服務器的功能。

IRC 僵尸程序模塊每日可完成兩次更新，暴力破解組件則通過與系統架構匹配的 Shell 腳本下載，并在執行前校驗文件的 MD5 哈希值，確保惡意程序未被篡改。

攻擊兼具廣譜性與針對性

GoBruteforcer的攻擊活動同時具備廣譜掃射與定向行業打擊的雙重特征。通用型攻擊活動會組合使用通用運維用戶名與標準弱密碼發起試探；而專項攻擊任務則會采用 “cryptouser”“appcrypto” 等加密貨幣相關用戶名，或 “wpuser” 這類針對 WordPress 系統的專屬憑證。

該惡意軟件還會針對性攻擊 XAMPP 集成環境 —— 這一熱門開發工具通常默認啟用 FTP 服務，并將 FTP 根目錄映射到公網可訪問的網頁路徑，存在嚴重安全隱患。

僵尸網絡的架構設計具備高效攻擊能力，受感染主機每秒可掃描約 20 個 IP 地址，且在 FTP 攻擊任務執行期間，能將帶寬消耗控制在較低水平：出站流量約 64 千比特 / 秒，入站流量約 32 千比特 / 秒。

攻擊線程池的規模會根據目標服務器的 CPU 架構動態調整：64 位系統上會運行 95 個并發暴力破解線程，32 位系統則會適配為更少的線程數。

該惡意軟件還具備智能目標篩選能力，會主動排除私有網絡、云服務商網段及美國國防部 IP 地址范圍，以此降低被安全監測系統發現的概率。

防護建議

企業可通過以下措施降低GoBruteforcer攻擊風險：實施強密碼策略、關閉不必要的公網暴露服務、部署多因素身份驗證機制，以及持續監測異常登錄嘗試行為。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！