GoBruteforcer（又名 GoBrut）僵尸网络发起新一轮恶意攻击，目标直指暴露在公网的服务器，特别是那些疑似使用 AI 生成示例配置的加密货币及区块链项目数据库。

该恶意软件基于 Golang 编写，通常针对暴露的 FTP、MySQL、PostgreSQL 及 phpMyAdmin 服务发动攻击。它往往利用已沦陷的 Linux 服务器扫描随机公网 IP，并实施暴力破解登录。

利用薄弱防御实施入侵

研究人员估计，目前互联网上可能有超过 5 万台服务器易受 GoBrut 攻击。攻击者通常通过运行 XAMPP 的服务器上的 FTP 服务获取初始访问权限。这是因为除非管理员手动进行安全配置，否则默认配置往往包含极易被破解的弱口令。

当攻击者利用标准账户（通常为 daemon 或 nobody）和弱默认密码成功登录 XAMPP FTP 后，典型的下一步操作是将 Web 后门（Web Shell）上传至网站根目录。

攻击者也可能通过其他途径上传 Web 后门，例如配置不当的 MySQL 服务器或 phpMyAdmin 面板。感染链条随后继续延伸，通过下载器获取 IRC 僵尸程序及暴力破解模块。

恶意软件在延迟 10 至 400 秒后启动，在 x86_64 架构上可启动多达 95 个暴力破解线程，扫描随机公网 IP 段，但会自动跳过私有网络、AWS 云服务段及美国政府网络。

每个工作线程生成一个随机公网 IPv4 地址，探测相关服务端口，尝试提供的凭证列表，随后退出。系统会持续生成新的工作线程以维持设定的并发级别。

FTP 模块依赖于直接嵌入在二进制文件中的 22 组硬编码用户名密码对。这些凭证与 XAMPP 等虚拟主机套件中的默认或常见部署账户高度吻合。

AI 生成配置与老旧套件助长攻势

GoBruteforcer 的感染链

研究人员指出，在近期的攻击活动中，GoBruteforcer 的活跃度之所以激增，是因为大量服务器复用了由大语言模型（LLM）生成的通用配置片段。这导致了大量弱口令和可预测的默认用户名（如 appuser、myuser、operator）的泛滥。 

这些用户名频繁出现在 AI 生成的 Docker 和 DevOps 操作指南中，研究人员据此推测，这些配置已被应用到真实系统中，从而使其极易遭受密码喷洒攻击。 

助长该僵尸网络近期攻势的第二个原因是过时的服务器套件（如 XAMPP）。这些套件在部署时仍保留默认凭证和开放的 FTP 服务，暴露了脆弱的网站根目录，使攻击者能够轻松植入 Web 后门。

一起典型的攻击案例是一台受感染的主机被植入了 TRON 钱包扫描工具，该工具会对 TRON 和币安智能链（BSC）进行全网扫描。攻击者使用一个包含约 2.3 万个 TRON 地址的文件，通过自动化工具识别并掏空余额非零的钱包。 

为防御 GoBruteforcer 攻击，管理员应避免使用 AI 生成的部署指南，并使用非默认用户名搭配强密码。 同时，及时检查 FTP、phpMyAdmin、MySQL 和 PostgreSQL 是否存在暴露的服务，并考虑将 XAMPP 等过时软件套件替换为更安全的替代方案。