Darktrace 恶意软件研究工程师 Nathaniel Bill 于 6 月 10 日发布分析报告,详述了一起针对基于 Docker 蜜罐的入侵事件。攻击者利用一个配置错误的容器逃逸至宿主机,并安装 Nezha —— 一款合法的、开源的、在 GitHub 上拥有约 10,000 颗星的中国服务器监控工具 —— 作为隐蔽的命令与控制(C2)后门。攻击链路始于一个恶意的 docker create 命令,该命令将宿主机的 cron.d 目录挂载到了容器内;随后,攻击者写入了一个 root 级别的 cron 任务,该任务获取并执行一个远程 shell 脚本,从而下载了 Nezha 官方安装程序的修改版本。此修改版本预先配置了攻击者的服务器地址,并移除了交互式提示。由于 Nezha 是一种公认的管理工具,它的存在可以融入预期的运维工具中,从而规避针对恶意软件的检测 —— 这种技术被 Darktrace 称为「信任反转」。分析时,攻击者的 Nezha 仪表盘显示有 141 台受感染服务器,其中 45 台仍在线;这次攻击活动还暴露了一个设计缺陷 —— Nezha 的监控面板无需任何身份验证即可查看主机列表,使得受害者池的规模和地理分布可以被公开读取。此外,Darktrace 还通过 Shodan 和 Censys 识别出了 33 个面向互联网的 Nezha 安装实例。
与此同时,中文 VPS 社区也在积极构建防御工具。GitHub 项目 Nezha-cleaner(41 颗星,MIT 许可证)提供了一个 10 步 bash 脚本,可终止 Nezha 进程、移除其 systemd 服务和二进制文件、清除 cron 条目,并扫描文件系统以查找残留痕迹 —— 本月发布的 v1.4 版本还增加了三层 Docker 保护,以避免误删不相关的容器。该项目于 2025 年 5 月首次发布,并迅速迭代,表明 Linux VPS 宿主机上存在持续的未经授权安装 Nezha 问题。与这些来源相关联的 NodeSeek 论坛帖子反映了社区对于检测和修复的活跃讨论。Darktrace 的总体结论是:随着双用途软件滥用日益普遍,组织应投资于行为与资产可见性控制,而非仅仅依赖基于特征的恶意软件检测,尤其是在云环境中,合法的监控工具与攻击者的后门可能在功能上难以区分。