GoBruteforcer又称 GoBrut僵尸网络近期发起新一轮大规模攻击主要针对暴露在公网的 Linux 服务器尤其是那些疑似使用AI 生成示例配置的加密货币和区块链项目数据库。该恶意软件使用Golang编写擅长对公网暴露的FTP、MySQL、PostgreSQL 和 phpMyAdmin服务实施暴力破解。它通常从已沦陷的 Linux 服务器出发随机扫描公网 IP 并尝试登录。Inside GoBruteforcer: AI-Generated Server Defaults, Weak Passwords, and Crypto-Focused Campaigns - Check Point ResearchGoBruteforcer 僵尸网络暴力破解示意图弱密码与登录风险利用薄弱防御实施入侵研究人员估计互联网上目前可能有超过5 万台服务器易受 GoBruteforcer 攻击。攻击者最常通过运行XAMPP的服务器上的 FTP 服务获得初始访问权限——因为默认配置往往包含极易被破解的弱口令且除非管理员手动加固否则极易沦陷。成功登录后常用账户如 daemon、nobody攻击者通常会将Web Shell网页后门上传至网站根目录通过配置不当的 MySQL 或 phpMyAdmin 面板上传后门下载 IRC 僵尸程序和暴力破解模块完成感染链GoBruteforcer Botnet Targets Crypto Project Databases by Exploiting Weak CredentialsGoBruteforcer 典型感染链流程图从 WebShell 到 IRC Bot 再到全网扫描恶意软件启动后会有 10 至 400 秒的延迟在 x86_64 架构上可同时运行高达95 个暴力破解线程。这些线程会生成随机公网 IPv4 地址探测常见服务端口尝试内置凭证列表并自动跳过私有网络、AWS 云段及美国政府网络。FTP 模块内置了22 组硬编码用户名/密码对这些凭证与 XAMPP 等开发套件的默认或常见部署账户高度匹配。AI 生成配置与老旧套件成“助攻”GoBruteforcer 近期活跃度激增主要得益于两个因素AI 生成配置泛滥大量服务器复用了大语言模型LLM输出的通用配置片段导致弱口令和可预测用户名如 appuser、myuser、operator大量出现。这些用户名常见于 AI 生成的 Docker 和 DevOps 指南中一旦被实际部署就极易遭受密码喷洒攻击。AI model security: Concerns, best practices and techniquesAI 生成配置导致的安全风险示意图过时服务器套件XAMPP 等老旧开发套件在部署时仍保留默认凭证和开放的 FTP 服务使攻击者能轻松植入 Web 后门。典型攻击案例中一台受感染主机被植入了TRON 钱包扫描工具。该工具使用包含约2.3 万个 TRON 地址的列表对 TRON 和币安智能链BSC进行全网扫描自动识别并转移余额非零的钱包资产。Understanding Address Poisoning on the TRON Blockchain | TRM BlogTRON 区块链相关钱包扫描与资产窃取流程示意图防御建议为有效防御 GoBruteforcer 攻击服务器管理员应采取以下措施避免直接使用 AI 生成的部署指南务必手动审核并强化配置使用非默认用户名 强密码组合及时检查并关闭不必要的公网暴露服务FTP、phpMyAdmin、MySQL、PostgreSQL将 XAMPP 等过时开发套件替换为更安全的现代替代方案定期监控服务器日志启用入侵检测与失败登录限制GoBruteforcer 的案例再次提醒我们便利的 AI 工具和快速部署套件在带来效率的同时也可能显著放大安全风险。加密货币和区块链项目尤其需要加强基础设施安全防护。