Hari ini saya melihat tingkat permintaan tinggi yang tidak biasa pada server web Apache dan juga lalu lintas jaringan masuk yang cukup tinggi. Setelah memeriksa halaman mod_status Apache, saya menemukan URL yang menyinggung berasal dari path www.server.com/www/wp-includes/js/tinymce/plugins/wpautoresize/
. Dan memang saya telah menemukan beberapa skrip PHP yang diretas (dikaburkan) di sana.
Juga perhatikan proses aneh yang dilakukan oleh pengguna data-www:
www-data 7300 10.8 0.1 2122900 18768 ? Ssl Jul11 121:47 /usr/bin/host
Memeriksa /proc/7300/cmdline
mengungkapkan bahwa memang ini adalah /usr/bin/host
biner asli . netstat -anp
menunjukkan itu memiliki banyak koneksi HTTP terbuka, jadi entah bagaimana biner itu disalahgunakan. debsums
mengkonfirmasi checksum biner menjadi OK. Karena proses dijalankan di bawah pengguna data-www, saya tidak punya alasan untuk percaya bahwa server itu sendiri telah dikompromikan.
Bagaimana biner itu disalahgunakan?
EDIT: Pertanyaan "bagaimana menangani server yang dikompromikan" yang tidak luas ini. Alih-alih sebuah pertanyaan (dan sudah merupakan jawaban) tentang satu jenis pelecehan spesifik bagaimana hal itu dilakukan secara teknis, karena kasus khusus ini cukup kreatif dalam cara kerjanya. Tampaknya ini dalam keadaan liar selama beberapa tahun sekarang (utas lama & pertanyaan dari 2012) dan saya temui minggu ini.
Jawaban:
Setelah menggali kode sumber skrip PHP yang tersinggung dan googling ( utas ini ), saya telah menemukan penjelasan.
Ini adalah bagian dari
system.php
kode yang saya temukan:Bagaimana
/usr/bin/host
terlibat sedikit lebih maju. Program menggunakan pustaka (.so
file) untuk beberapa fungsinya. Pengguna dapat prelink (LD_PRELOAD
) beberapa file .so sebelum meluncurkan biner yang sah untuk mengubah cara kerjanya.Seperti yang Anda lihat skrip ini membuat file
libworker.so
dan menggunakanLD_PRELOAD
variabel lingkungan untuk memuatnya, jadihost
biner yang sah melakukan sesuatu yang sama sekali berbeda.Itu membuat
1.sh
skrip shell dan mencoba untuk mengeksekusinya dalam beberapa cara (langsung, menggunakanat
perintah, menggunakan cron). Segera setelah itu menghapus skrip dan file pustaka dari disk, sehingga tidak diperhatikan.Apa yang terjadi pada awalnya adalah bahwa beberapa plugin Wordpress yang rentan disalahgunakan dan penyerang dapat menempatkan file mereka ke direktori word-writabble.
Mitigasi berarti menganalisis file log akses lama untuk domain itu dan mencoba menemukan
POST
permintaan apa pun ke lokasi yang tidak biasa - misalnya secara langsung mengakses file PHP plugin WP / Joomla adalah tidak biasa. Kemudian hapus semua file PHP yang dikaburkan, perbaiki izin direktori, hentikanhost
proses yang berjalan, dan pantau logfile untuk setiap upaya re-hacks.EDIT: Saya mendapat info dari ESET bahwa mereka telah mendeteksi perpustakaan khusus ini dan juga versi lainnya. Perusahaan antivirus memberinya nama Roopre dan tampaknya itu digunakan sebagai bagian dari botnet Mayhem .
Analisis mendalam tentang botnet Mayhem.
Analisis mendalam tentang eksploitasi ini.
sumber