Perl.com域被盗，现在使用与恶意软件绑定的IP地址

域名perl.com在本周被盗，现在指向与恶意软件活动相关的IP地址。

Perl.com是The Perl Foundation拥有的网站，自1997年以来一直用于发布有关Perl编程语言的新闻和文章。

1月27日，Perl NOC网站发布了perl.com域被劫持的情况，现在将用户指向其他IP地址。

＆＃34; perl.com域今天早上被劫持，目前指向一个停车位。正在努力恢复它，＆＃34; Perl.org帖子中写道。

perl.com网站最初托管在IP地址151.101.2.132，但由于被劫持，现在托管在Google Cloud IP地址35.186.238 [。] 101。

访问该网站时，会向用户显示空白页。该页面的HTML包含Godaddy驻留的域脚本，即使该域是通过注册商密钥系统（。）net进行注册的。

Perl编程语言作者Brian d Foy发推文说，他们已经在http://perldotcom.perl.org上临时为希望访问该站点直到域恢复的用户设置了perl.com。

我们已经在https://t.co/gex8ELDxVn上临时设置了https://t.co/cM17zmX6Km网站。该站点应该可以正常工作，SSL证书应该可以。没有关于恢复进度的消息。每个需要交谈的人都在互相交谈，现在这只是一个过程。

— brian d foy（@briandfoy_perl）2021年1月28日

在解决域劫持问题之前，Perl Foundation建议用户不要将perl.com用作CPAN镜像，并使用以下命令对其进行更新：

＃perl -MCPAN -eshell cpan shell-CPAN探索和模块安装（v2.20） 输入＆＃39; h＆＃39;求助。 cpan [1]＆gt; o conf网址列表http://www.cpan.org/ 请使用＆oconf提交＆＃39;使配置永久！ cpan [2]＆gt; o conf提交 提交：写＆＃39 / root / .cpan / CPAN / MyConfig.pm＆＃39;

perl.com现在托管的IP地址在较旧的恶意软件活动和较新的恶意软件活动中使用已有很长的历史了。

在2019年，IP地址35.186.238 [。] 101绑定到一个域，该域分发了现已停用的Locky勒索软件的恶意软件可执行文件[VirusTotal]。

最近，似乎是广告点击器的恶意软件[VirusTotal]使用以下域作为命令和控制（C2）服务器。

当恶意软件尝试连接到这些域中的URL时，它们现在可以接收访问perl.com时当前使用的相同的驻留域脚本。 这些HTML响应而不是C2的指令可能表明该IP地址受其他威胁因素的控制。 目前，强烈建议您在该域重新由Perl Foundation掌握之前，不要访问perl.com，因为攻击者可以很容易地将其切换到一个站点，以进行更多恶意攻击。