Hỏi về: Làm thế nào để xác định được cách mã độc được đưa lên server?

[tuandungtb89]

Chào các bạn

Web server của mình chạy Centos 6, Apache 2.4.7.

Mình phát hiện 1 số site sử dụng Wordpress trên server của mình bị dính mã độc, nó kích hoạt chạy /usr/bin/host gây Overload CPU rất nhiều lần.

Mình đã xoá các file này đi, nhưng thời gian sau lại thấy nó nằm ở site khác.

- Giờ mình muốn biết làm cách nào mà hacker có thể upload các file đó lên server của mình thì check ở đâu, và muốn chặn thì làm như nào?
- Có tool nào free hay lệnh để quét các mã độc, virus trên server ko (có cái CXS mà nó đắt quá)
- Và /usr/bin/host có cần thiết cho webserver ko, có cách nào để tắt hoặc giới hạn quyền truy cập của nó ko?


Nhờ các bạn chỉ giúp. Cảm ơn các bạn

Mình gửi kèm 3 file mình mới phát hiện trên server của mình để các bạn xem nhé.
(2 file 404.php và tmpfile.php được hacker phân quyền -rwsr-Sr-T)

 

Re: Làm thế nào để xác định được cách mã độc được đưa lên server?

Khả năng cao đây là dòng malware MayHem lây lan qua lỗ hổng Shellshock. /usr/bin/host bị hook nên chiếm CPU cao.

 

Re: Làm thế nào để xác định được cách mã độc được đưa lên server?

Chào các bạn

Web server của mình chạy Centos 6, Apache 2.4.7.

Mình phát hiện 1 số site sử dụng Wordpress trên server của mình bị dính mã độc, nó kích hoạt chạy /usr/bin/host gây Overload CPU rất nhiều lần.

Mình đã xoá các file này đi, nhưng thời gian sau lại thấy nó nằm ở site khác.

- Giờ mình muốn biết làm cách nào mà hacker có thể upload các file đó lên server của mình thì check ở đâu, và muốn chặn thì làm như nào?
- Có tool nào free hay lệnh để quét các mã độc, virus trên server ko (có cái CXS mà nó đắt quá)
- Và /usr/bin/host có cần thiết cho webserver ko, có cách nào để tắt hoặc giới hạn quyền truy cập của nó ko?


Nhờ các bạn chỉ giúp. Cảm ơn các bạn

Mình gửi kèm 3 file mình mới phát hiện trên server của mình để các bạn xem nhé.
(2 file 404.php và tmpfile.php được hacker phân quyền -rwsr-Sr-T)

Khả năng cao đây là dòng malware MayHem lây lan qua lỗ hổng Shellshock. /usr/bin/host bị hook nên chiếm CPU cao.

Nguy cơ cao là các file lạ trên được upload qua lỗ hổng shellshock và lỗ hổng trên các site wordpress. Bạn cần update cho các site wordpress và bash trên server.
Ngoài ra cần loại bỏ các file lạ tồn tại trên server. tool quét
http://www.mediafire.com/download/hdy8katzzcuykkk/neopi.py

 

Re: Làm thế nào để xác định được cách mã độc được đưa lên server?

Cảm ơn các bạn.
Mình sẽ báo cho các site update lên bản WP mới nhất.
Về phía bash, mình cho chạy dòng lệnh:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Nhận được kết quả là:

vulnerablethis is a test

Như vậy là server của mình đã bị dính lỗ hổng này phải ko.

Vậy nhờ các bạn chỉ giúp mình cách vá lỗ hổng này nhé.

Cảm ơn các bạn.

 

Re: Làm thế nào để xác định được cách mã độc được đưa lên server?


Bạn kiểm tra version hiện tại rpm -q bash
sau đó chạy lệnh yum update bash
rùi kiểm tra lại version của bash dùng câu lệnh test trên xem còn exploit không.

 

Re: Làm thế nào để xác định được cách mã độc được đưa lên server?

Cảm ơn bạn. Mình update xong và kiểm tra lại thì thấy ko còn lỗi như trên nữa, vậy chắc là đc rồi. Không biết có bị hổng chỗ khác không.