攻击者透过恶意脚本自动安装TinyProxy,并修改设定档,开放所有外部来源连线,使受害Linux伺服器成为可被远端利用的代理节点
韩国资安公司AhnLab观察到,Linux伺服器因密码强度不足或管理疏忽,逐渐成为骇客锁定目标。研究人员利用蜜罐陷阱(Honeypot)监控发现,攻击者在取得伺服器SSH存取权限后,行动有别于传统植入恶意程式,而是安装如TinyProxy与Sing-box等合法代理工具,使受害主机成为可供外部使用的代理伺服器,以隐匿行踪、绕过网路封锁甚至是贩售代理服务权限。
研究人员揭露,攻击者首先针对弱密码的SSH服务进行暴力破解,成功登入后会下载并执行一段Bash脚本,脚本内容依据不同Linux发行版,自动利用apt、yum或dnf安装TinyProxy,并修改TinyProxy设定档,允许所有外部来源。
如此一来,攻击者即可随时连入伺服器的8888埠口,透过TinyProxy对外提供代理服务。研究人员表示,整体过程并未观察到进一步的恶意操作,显示骇客主要目的是将伺服器纳入代理节点网路。
除TinyProxy外,研究人员也发现另一类案例,攻击者安装名为Sing-box的开源多协定代理工具。Sing-box支援多种旁路协定(Bypass Protocol),如vmess-argo、vless-reality、Hysteria2与TUICv5等。Sing-box常用于和用户所在地不同地区的VPS,以突破特定国家对ChatGPT、Netflix等服务的连线限制。
研究人员提到,近期观察到越来越多攻击者倾向滥用TinyProxy、Sing-box等合法或开源代理软体,取代传统自制恶意程式,将受害伺服器纳入代理节点网路。这种手法不仅能够规避现有资安侦测,也降低了攻击门槛,受害系统除面临资源被滥用的风险外,还可能因代理服务被用于非法用途而承担法律责任。管理者应加强密码强度、定期更新系统与资安产品,并妥善控管伺服器对外存取权限,以防止类似攻击发生。