（圖片由 Cypher789 創件：http://commons.wikimedia.org/wiki/File:Spam_2.jpg）

HKCERT 收到位於香港的 Linux 伺服器受 Mumblehard 惡意軟件感染的報告。此惡意軟件能夠將你的伺服器變成發出垃圾郵件的殭屍伺服器。HKCERT 將通知 ISP 受影響的 IP 地址。你可以根據本文的資料偵測及清理你的伺服器。

1. 背景

在 2015 年 4 月底，保安服務商 ESET 發出關於垃圾郵件殭屍惡意軟件 Mumblehard 的報告。根據報告，該惡意軟件被包裝成 ELF 二位元格式，並針對 Linux 或 BSD 系統。全球超過 3,000 部伺服器受感染，當中 31 部位於香港。該惡意軟件及其指揮伺服器（C&C）已活躍最少五年。

2. Mumblehard 惡意軟件的影響

• 受感染的伺服器會開啟後門與惡意軟件 C&C 伺服器聯絡，並接受指示發出大量垃圾郵件。
• 如果你的伺服器是電郵伺服器，很可能會被其他電郵伺服器列入黑名單。
• 由於相信受影響伺服器透過 WordPress 及 Joomla 漏洞感染，因此你的網站伺服器亦可能受其他漏洞影響（例如 Joomla brobot DDoS 惡意軟件）。

3. 如何偵測及移除 Mumblehard 惡意軟件

假如你懷疑伺服器受 Mumblehard 惡意軟件感染，請根據以下步驟檢查及清理你的伺服器：

• 由於惡意軟件透過 cron 程序每 15 分鐘啟動一次，請檢查並移伺服器內所有用戶的可疑 cron 程序。
• 該惡意軟件執行檔放在 /tmp 或 /var/tmp，請檢查並移除這兩個目錄內的可疑檔案。你亦可考慮掛載 /tmp 目錄時使用 noexec 選項。
• 如果伺服器安裝了 WordPress 及 Joomla，請安裝修補程式。
• 根據 ESET 的分析，DirectMailer 軟件開發商與 Mumblehard 惡意軟件有關。假如安裝了 DirectMailer，請移除該軟件。

4. 參考資料

1. http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumblehard-muttering-spam-servers/
2. [PDF] http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
3. http://www.virusradar.com/en/Linux_Mumblehard/detail
4. http://www.scmagazine.com/linux-malware-mumblehard-has-spamming-feature-backdoor-component/article/412561/