redkit曾參與最近在NBC網站的垃圾郵件黑客活動和波士頓爆炸案。安全專家分析它可能正在針對利用 WEB服務器(Apache, Nginx等)，更有可能安裝在服務器本身來進行竊取。

首先，來看看redkit是如何運作的：

當受害者瀏覽一個已被攻擊者利用的Web站點，通常被重定向到攻擊載體。這種重定向有幾種不同的階段，但在過去的幾個月中，Sophos安全公司發現TROJ/IFRAME-JG塊使用得很頻繁。

從下面的圖片中可以看到，iframe注入的頁面可以很容易看的出來：

最初的重定向(通常是一個iframe)到另一個合法的站點，但其服務器已被攻破(此為第一階段重定向)。然后重定向到一個4字符的 .htm 或 .html的頁面中的目標Web服務器的root界面。例如：

compromised_site.net/dfsp.html

compromised_site.com/zpdb.html

從這個重定向響應一個HTTP301重定向(此為第二階段重定向)。

301重定向將受害者反彈到已被利用Web服務器，這里又是一個加了四字符的.htm 或 .html頁面。

這個時候，惡意的內容，通過一個登陸頁面加載惡意JAR來施展攻擊。

但Redkit只是針對JAVA的漏洞。

而現在登陸頁面都略有不同，比如使用JNLP(java網絡加載協議)：

對受害人而言，惡意的內容是從入侵web服務器(第二階段重定向)來傳遞。然而，后來發現，這些內容是永遠不會存儲該Web服務器上的。

相反，redkit利用入侵的web服務器加載一個PHP shell，來管理。 這個PHP的shell是負責：

將彈彈第一階段重定向到另一個服務器(隨機選取)。 PHP shell連接redkit的一個遠程命令控制(C&C)服務器，以獲得其他惡意網站(每個小時更新)的列表。

提供惡意登陸頁面和JAR內容給受害者。這是不是從磁盤加載的?相反，它是通過C&C服務器HTTPS下載的(使用curl)。因此，PHP shell基本上起到了一個惡意內容的代理。

PHP的shell Troj/PHPRed-A

PHP的shell是與一個.htaccess文件來協同工作的，負責用來引導傳入的HTTP請求(4個字符的htm / html文件)必要的PHP腳本。

以下的圖說明了這一點