文章总结： 研究人员发现名为GoBruteforcer的僵尸网络正针对Linux服务器，利用弱口令对FTP及数据库服务进行暴力破解。该恶意软件采用Go语言编写，具备持久化能力，入侵后用于数据窃取及加密货币挖掘。预计超5万台服务器受影响，建议加强凭证管理并修复默认配置以防范风险。 综合评分： 76 文章分类： 恶意软件,威胁情报,网络安全

行业资讯：GoBruteforcer的僵尸网络专门针对Linux服务服务器

君说安全

2026年1月10日 00:00 贵州

分享网络安全知识，提升网络安全认知！

让你看到达摩克利斯之剑的另一面！

“GoBruteforcer的僵尸网络专门针对Linux服务服务器”****

备注：图片来源于网络

大家好，我是Jun哥。

信息安全杂志揭露，一个名为GoBruteforcer的僵尸网络一直积极针对暴露在互联网中的Linux服务器，使用大规模暴力破解攻击，攻击FTP、MySQL、PostgreSQL和phpMyAdmin等常见服务。

GoBruteforcer 将被攻破的机器变成扫描节点和中继攻击节点，一旦感染，这些服务器会被用来探查随机IP范围，并尝试使用常见的用户名和密码登录。

一旦成功攻破，可能导致数据盗窃、后门的创建、访问转售或僵尸网络的进一步传播。

GoBruteforcer恶意软件最早于2023年公开记录，但研究人员在2025年中期开始观察到更强大的变种，新版本完全用 Go 编写，引入了更强的混淆、更强的持久化以及旨在掩盖感染主机上恶意进程的技术。

GoBruteforcer僵尸网络当前活跃由两个趋同趋势驱动，一是依赖可预测用户名和弱默认值的标准部署示例的大规模重复利用；二是持续使用遗留的网络栈，如XAMPP，这些栈常常暴露FTP服务和管理面板，且安全防护极少。

在本周三发布的一份新公告中，Check Point Research（CPR）估计，由于凭证薄弱和软件配置错误，超过5万台公开访问服务器可能存在漏洞。

CPR研究人员指出，攻击者并不依赖零日漏洞利用；相反，他们反复测试简单的凭据，比如管理员、密码或多年来在文档和教程中流传的常用作用户名。

当前存在互联网存在数百万个数据库和FTP服务器仍可通过默认端口访问，形成了广泛的攻击面，即使成功率较低，暴露系统的数量庞大使暴力破解在经济上具有吸引力。

GoBruteforcer会在随机IP地址上喷洒常见用户名，而一些变种则更具针对性，比如CPR观察到的攻击包括针对区块链相关数据库的加密主题用户名，以及通常与WordPress网站相关的phpMyAdmin面板。

在一台被攻破的服务器上，分析师恢复了基于Go的工具，用于扫描TRON余额并刷取TRON和币安智能链上的代币，此外还发现了包含约23,000个TRON地址的文件，同时还发现了僵尸网络组件。

对攻击者控制钱包的链上分析显示，至少部分此类财务动机攻击成功，尽管大多数受影响地址似乎只持有少量剩余余额。

尽管如此，调查结果凸显了一个持续存在的安全问题：暴露的服务、弱的凭证和默认配置持续为攻击者提供可靠的访问。

CPR研究人员解释道：“随着生成式人工智能进一步降低服务器部署门槛，不安全默认账号和口令风险可能会增加。”

信源：infosecurity

整理和翻译：Jun哥

全文完，喜欢请三连，这对我很重要！

-End-

免责声明：本文相关素材均来自互联网，仅为传递信息之用。****

如有侵权，请联系作者删除。

★点赞，转发，设为星标★

与你一起分享网络安全职场故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：君说安全 《行业资讯：GoBruteforcer的僵尸网络专门针对Linux服务服务器》