ClickHouse 数据库渗透测试指南

新一轮GoBruteforcer攻击瞄准了加密货币和区块链项目的数据库，意图将其纳入一个僵尸网络。该网络能够对Linux服务器上的FTP、MySQL、PostgreSQL和phpMyAdmin等服务进行用户密码暴力破解。

Check Point Research在上周发布的分析报告中指出："当前这波攻击活动由两个因素驱动：一是AI生成的服务器部署示例被大量复用，传播了常见的用户名和脆弱的默认设置；二是诸如XAMPP等遗留Web栈的持续存在，这些栈暴露了FTP和管理界面，且加固程度极低。"

GoBruteforcer（亦称GoBrut）最初由Palo Alto Networks Unit 42于2023年3月记录。该恶意软件能够针对运行x86、x64和ARM架构的类Unix平台，部署一个互联网中继聊天（IRC）机器人和一个用于远程访问的Web Shell，同时获取一个暴力破解模块以扫描易受攻击的系统并扩大僵尸网络的覆盖范围。

Lumen Technologies的Black Lotus Labs团队在2025年9月的一份后续报告中发现，受另一个名为SystemBC的恶意软件家族控制的一部分受感染机器人，也属于GoBruteforcer僵尸网络的一部分。

Check Point表示，其在2025年中识别出了一个更复杂的Golang恶意软件版本。该版本包含一个用跨平台编程语言重写、经过高度混淆的IRC机器人，并改进了持久化机制、进程伪装技术和动态凭证列表。

凭证列表包含一系列允许远程登录的常见用户名和密码组合（例如：myuser:Abcd@123 或 appeaser:admin123456）。选择这些名称并非偶然，因为它们曾出现在数据库教程和供应商文档中，而这些资料都被用于训练大型语言模型（LLM），导致模型生成的代码片段带有相同的默认用户名。

列表中的其他一些用户名则专注于加密货币领域（例如：cryptouser、appcrypto、crypto_app和crypto）或针对phpMyAdmin面板（例如：root、wordpress和wpuser）。

Check Point称："攻击者为每次攻击活动复用一个小而稳定的密码池，从中刷新每项任务列表，并每周数次轮换用户名和特定领域的添加项，以追求不同的目标。与其他服务不同，FTP暴力破解使用的是嵌入在暴力破解器二进制文件中的一小部分硬编码凭证。该内置集合指向Web托管栈和默认服务账户。"

进一步分析此次攻击活动发现，其中一台被入侵的主机被用于部署一个模块，该模块会遍历一系列TRON区块链地址，并使用tronscanapi[.]com服务查询余额，以识别资金非零的账户。这表明攻击者正协同努力地针对区块链项目。

"GoBruteforcer例证了一个更广泛且持续存在的问题：暴露的基础设施、脆弱的凭证和日益自动化的工具相结合，"Check Point表示。"虽然该僵尸网络本身在技术上并不复杂，但其操作者受益于大量仍在线的配置不当的服务。"

此次披露之际，GreyNoise揭示威胁行为者正在系统地扫描互联网，寻找可能提供商业LLM服务访问权限的配置不当的代理服务器。

在这两波活动中，其中一波在2025年10月至2026年1月期间，利用了服务器端请求伪造（SSRF）漏洞，针对Ollama的模型拉取功能和Twilio SMS webhook集成。基于对ProjectDiscovery的OAST基础设施的使用，推测该活动可能源自安全研究人员或漏洞赏金猎人。

第二波活动始于2025年12月28日，被评估为一次大规模枚举尝试，旨在识别与阿里巴巴、Anthropic、DeepSeek、Google、Meta、Mistral、OpenAI和xAI相关的暴露或配置不当的LLM端点。扫描源自IP地址45.88.186[.]70和204.76.203[.]125。

这家威胁情报公司表示："自2025年12月28日起，两个IP地址对超过73个LLM模型端点展开了有方法的探测。在十一天内，它们生成了80,469次会话——这是针对可能泄露商业API访问权限的配置不当代理服务器的系统性侦察。"

觉得这篇文章有趣吗？请关注我们的Google News、Twitter和LinkedIn，阅读我们发布的更多独家内容。