新的僵尸网络病毒出现，感染“HDFS”发动DDoS攻击

我们都知道，DDoS攻击主要是通过大量的“肉鸡”来进行发动的，要发动DDoS攻击首先需要大量的僵尸网络“肉鸡”。根据相关媒体最新报道，一个全新的僵尸网络病毒正在以“HDFS”为目标，感染其成为“肉鸡”，利用它们的计算能力发动分布式拒绝服务（DDoS）攻击。

什么是“HDFS”呢？“HDFS”的全称是Hadoop分布式文件系统，是一种被设计成适合运行在通用硬件(commodity hardware)上的分布式文件系统。HDFS在最开始是作为Apache Nutch搜索引擎项目的基础架构而开发的，它和现有的分布式文件系统有很多共同点。但同时，它和其他的分布式文件系统的区别也是很明显的。HDFS是一个高度容错性的系统，适合部署在廉价的机器上。HDFS能提供高吞吐量的数据访问，非常适合大规模数据集上的应用。HDFS放宽了一部分POSIX约束，来实现流式读取文件系统数据的目的。

该僵尸网络病毒被称为“DemonBot”，墨者安全技术团队通过对该病毒进行分析，发现该病毒不具备蠕虫功能，因此它只会感染中央服务器。这起僵尸病毒感染活动是基于Hadoop YARN中的一个未经身份验证的远程命令执行漏洞，目前也已经有超过70台主动攻击服务器（“肉鸡”）正在以每天超过100万次的频率攻击目标系统，并向其传播DemonBot僵尸病毒，而攻击主要集中在是美国、英国及意大利。

随着大数据在各个行业发挥着越来越多的作用，想能源一样为各行各业提供引擎动力，对应的大数据计算任务也越来越丰富和专业化，在Hadoop这一底层系统上又逐渐出现了完成交互式计算、实时计算、或者特定类型数据计算的上层软件，也因此，Hadoop目前更多的被认为是大数据生态体系的代名词也不为过。

在墨者安全技术团队后续的调查中发现，该僵尸病毒的开发者早在今年9月就已经在源代码在线分享平台PasteBin上公布了它的源代码，同时还发现了命令与控制（C&C）服务器的代码适用于多平台“肉鸡”的Python构建脚本。如果在参数列表中以逗号分隔的形式一次性传递多个IP，那么每个IP都会有一个单独的攻击进程。另外，攻击者还可以在攻击命令中加入<spoofit>参数，该参数作为网络掩码工作，如果<spoofit>参数设置为小于32，便可以掩盖‘肉鸡’的源IP。

虽然目前还没有找到任何能够证明DemonBot僵尸病毒的目标是物联网设备的证据，都是通过研究发现，DemonBot僵尸网络病毒可以在大部分的物联网智能设备上运行，它的目标绝不仅限于x86 Hadoop服务器。墨者安全建议大家提前做好安全防护措施，更改物联网设备上的默认密码，要保持系统更新、及时安装官方发布的修复补丁，保障设备网络安全。