Slyšeli jsme hodně o útocích Bruteforce příchozích na WordPress. Při kontrole vidíme, že příchozí útočné IP mohou mít nainstalovaný cpanel a ve skutečnosti se generují z nějakého jiného serveru, který je infikován.
Dva dny předtím jsme od našeho klienta dostali zprávu, že je datové centrum informovalo, že server je infikován a generuje útoky na jiné servery. Zpočátku nejsem schopen získat žádné podrobnosti týkající se útoku, protože neběží žádný podvodný proces, ani použití skenování mi nedalo žádné platné vodítko k tomuto útoku.
Zrovna jsem kontroloval výsledek tcpdump, abych viděl, jaká všechna data se ze serveru přenášejí.
user@host ~ # tcpdump -A -i eth0 -s 1500 port not 22
Při kontrole výsledků vidím, že se něco děje a mnoho záznamů wp-login.php se dělo.
Ukázkový výstup tcpdump (změněná doména a názvy hostitelů)
v.G....pPOST /restaurants/wp-login.php HTTP/1.0^M Host: domain.com^M Content-Type: application/x-www-form-urlencoded^M Content-Length: 30^M ^M log=admin&pwd=minedoruksay2940 06:15:22.056294 IP host5.domain.com > host6.domain.com48202: Flags [P.], seq 2779525802:2779527849, ack 2761432155, win 3216, options [nop,nop,TS val 166530731 ecr 1994475337], length 2047
Pokusil jsem se zastavit apache a mysql ,psa, a stále nějaký proces běžel jako uživatel www-data a proces byl něco jako níže.
www-data 1258 10.8 1.5 18327 1268 ? Ssl Dec10 129:10 /usr/bin/host
Vzal jsem lsof výsledek tohoto příkazu a dostal jsem viníka (účet) odpovědného za tento útok 🙂 Díky příkazu lsof mi dal správnou polohu a skripty.
Příslušný výstup z příkazu lsof
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME host 20636 username cwd DIR 9,2 4096 60874901 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js host 20636 username rtd DIR 9,2 4096 2 / host 20636 username txt REG 9,2 120240 68160132 /usr/bin/host host 20636 username DEL REG 9,2 60817452 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so host 20636 username mem REG 9,2 22928 23855190 /lib/libnss_dns-2.11.3.so host 20636 username mem REG 9,2 51728 23855282 /lib/libnss_files-2.11.3.so host 20636 username mem REG 9,2 12582912 60827148 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg host 20636 username DEL REG 9,2 60817412 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
cwd : /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js
Výše uvedený záznam z lsof znamená, že útok je generován z této složky a skripty jsou umístěny v tomto umístění.
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
Výše uvedené 3 soubory jsou hlavní soubory hackerů, ve kterých /bruteforce.so v té době nebyl na serveru přítomen. Tento skript byl odstraněn brzy po zahájení útoku.
Abych to napravil, odstranil jsem celou složku „js“ a poté jsem všechny tyto procesy zabil. Také požádal klienta, aby odstranil plugin. Bude dobré, když se nám podaří odstranit hostitelský binární soubor (/usr/bin/host). Pokud tam je, mohou se znovu vrátit s útokem a mohou zničit reputaci serveru během několika hodin.