Nhờ xử lý malware trên webserver

[tuandungtb89]

Chào các bạn.

Mình đang quản lý webserver của công ty, chạy Centos 6, trên đó có chứa web của công ty và 1 số khách hàng.
Thời gian gần đây mình phát hiện server bị rất nhiều Bruteforce attack và CPU thường xuyên bị chiếm rất cao, đặc biệt thỉnh thoảng lên đến 200- 300% do dịch vụ /usr/bin/host .

Mình đã kiểm tra và phát hiện trên website của 1 khách hàng có những file malware (mình để trong file đính kèm Bruteforce.zip)

Và có các file thực thi khác mình nghi cũng là mã độc (trong 2 file zip còn lại)

Hiện tại mình đã xoá các file này. Nhưng nhờ các bạn giúp mình xem:
- Các file trên có phải là nguyên nhân của Bruteforce attack và chiếm CPU không.
- Các file trên có thể bị lây nhiễm qua đường nào
- Mình phải làm gì để server không bị nhiễm mã độc như này nữa.

Cảm ơn các bạn rất nhiều.

View attachment 2813View attachment 2814View attachment 2815

 

Re: Nhờ xử lý malware trên webserver

-Đầu tiên bạn kiểm tra log /var/log/secure xem có bị tấn công bruteforce không và đổi lại mật khẩu các tài khoản.
-Khi kiểm tra tiến trình nào đang chạy chiếm nhiều cpu bạn dùng lệnh top -c hoặc ps -ef|grep id process để xem chương trình nào
đang ngốn nhiều cpu.
-Kiểm tra thư mục /tmp; /etc/ xem có các file lạ không. Khi dùng top -c sẽ ra tên process đang ngốn nhiều cpu nếu trùng tên file
bạn cho là malware thì có thể kết luận đó là nguyên nhân.
-Các file này bị lây nhiễm khi download và cài phần mềm bừa bãi, hoặc bị hacker up lên.
-Thường xuyên kiểm tra các tiến trình lạ và cài antivirut:vd clamav

 

Re: Nhờ xử lý malware trên webserver

File thứ 3 mà bạn gửi chính là exploit get root CVE-2010-4258
http://www.exploit-db.com/exploits/15704/

 

Re: Nhờ xử lý malware trên webserver

Phân tích sơ bộ
File css.php
Kill các tiến trình /usr/bin/host đang chạy.
Kiểm tra xem hệ thống là 32 hay 64 bit Linux hay FreeBSD sau đó dump file libworker.so theo đúng phiên bản 32 hay 64
Sử dụng phương pháp LD_PRELOAD để hook hàm exit. Mỗi khi /usr/bin/host chạy xong sẽ thực thi malware.
Dump script 1.sh thực hiện dọn dẹp.
Malware: Giao tiếp với C&C server theo phương thức HTTP POST. ( chưa biết làm gì?)

File bruteforce.so
Brute force các trang đăng nhập Wordpress và Joomla trên hệ thống.

Có thể 1 website trên server bị tấn công và bị upshell (lỗi uploads của Wordpress chẳng hạn) Hoặc server bị lỗ hổng ShellShock.
https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Mayhem

 

Re: Nhờ xử lý malware trên webserver

Hi các anh.

Hiện tại em không thấy /usr/bin/host chạy như trước nhưng vẫn thấy bị Brute force

Em đã kiểm tra /var/log/secure thì toàn là dạng như thế này:

Jan 8 03:43:06 abc auth [0 wait, 0 passdb, 0 userdb]: pam_succeed_if(dovecot:auth): error retrieving information about user nguyenhaivan
Jan 8 04:11:45 abc auth [0 wait, 0 passdb, 0 userdb]: pam_unix(dovecot:auth): check pass; user unknown
Jan 8 04:11:45 abc auth [0 wait, 0 passdb, 0 userdb]: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot [email protected] rhost=193.107.16.108
Jan 8 04:11:45 abc auth [0 wait, 0 passdb, 0 userdb]: pam_succeed_if(dovecot:auth): error retrieving information about user [email protected]
Jan 8 06:32:53 abc auth [0 wait, 0 passdb, 0 userdb]: pam_unix(dovecot:auth): check pass; user unknown
Jan 8 06:32:53 abc auth [0 wait, 0 passdb, 0 userdb]: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot [email protected] rhost=193.107.16.108
Jan 8 06:32:53 abc auth [0 wait, 0 passdb, 0 userdb]: pam_succeed_if(dovecot:auth): error retrieving information about user [email protected]

Trong DirectAdmin thì vẫn báo bị BruteForce

000011208 Brute-Force Attack detected in service log from IP(s) 193.107.16.108 Today at 08:52
000011207 Brute-Force Attack detected in service log from IP(s) 193.107.16.108 Today at 06:33
000011205 Brute-Force Attack detected in service log from IP(s) 193.107.16.108 Today at 03:44
000011204 Brute-Force Attack detected in service log from IP(s) 193.107.16.108 Today at 01:31
000011203 Brute-Force Attack detected in service log from IP(s) 130.43.120.21, 193.107.16.108 on User(s) [email protected] 01/07/2015
000011202 Brute-Force Attack detected in service log from IP(s) 130.43.120.21 01/07/2015
000011201 Brute-Force Attack detected in service log on User(s) [email protected] 01/07/2015
000011200 Brute-Force Attack detected in service log from IP(s) 193.107.16.108 01/07/2015
000011199 Brute-Force Attack detected in service log from IP(s) 192.210.50.180, 193.107.16.108 on User(s) vancuong 01/07/2015
000011198 Brute-Force Attack detected in service log from IP(s) 178.206.30.139, 192.210.50.180, 193.107.16.108 on User(s) vancuong, test 01/07/2015
000011197 Brute-Force Attack detected in service log from IP(s) 178.206.30.139 on User(s) test 01/07/2015
000011196 Brute-Force Attack detected in service log from IP(s) 113.20.115.5, 193.107.16.108 01/07/2015
000011195 Brute-Force Attack detected in service log from IP(s) 113.20.115.5, 193.107.16.108 01/07/2015
000011194 Brute-Force Attack detected in service log from IP(s) 193.107.16.108

Service chiếm nhiều CPU nhất hiện giờ là Apache

Em đã tìm toàn bộ server file bruteforce.so nhưng không tìm thấy.

find / bruteforce.so


Các website trên server của em chủ yếu chạy wordpress

Có thể 1 website trên server bị tấn công và bị upshell (lỗi uploads của Wordpress chẳng hạn) Hoặc server bị lỗ hổng ShellShock.

Các anh chỉ em cách nào để tìm được cái nào đang chạy Bruteforce và khắc phục được 2 lỗi như anh Luffy nói ko ạ?

Cảm ơn các anh.

 

Re: Nhờ xử lý malware trên webserver

/var/log/secure
File này lưu log đăng nhập như log của bạn là đang bị ssh brutefoce trái phép từ ip 193.107.16.108.
Kiểu tấn công này có thể thực hiện ở bất cứ đâu không cần up file lên server của bạn, bất cứ server họ linux nào đều bị tấn công kiểu này.
telnet 193.107.16.108 port 22 ta biết được ip này chạy kali.
Chống tấn công brutefoce bên ngoài server có thể sử dụng các công cụ block ip seach google với từ:
"block ip attack bruteforce centos" hoặc bạn tham khảo bài sau:
https://whitehat.vn/threads/8870-Chong-bruceforce-server-linux.html

Cách tìm file:

bạn cd về thư mục / rùi: find. -name bruteforce.so
hoặc
ps -ef|grep bruteforce.so xem nó đang chạy không.
Cái log số 2 anh em tiếp tục góp ý nhé.

 

Re: Nhờ xử lý malware trên webserver

Cảm ơn anh Diep.
Server của em đã cài CSF nhưng nó chỉ block được các IP đăng nhập sai như này:

178.206.30.139 # lfd: (smtpauth) Failed SMTP AUTH login from 178.206.30.139 (RU/Russian Federation/-): 5 in the last 3600 secs - Wed Jan 7 16:53:29 2015
130.43.120.21 # lfd: (smtpauth) Failed SMTP AUTH login from 130.43.120.21 (GR/Greece/130.43.120.21.dsl.dyn.forthnet.gr): 5 in the last 3600 secs - Wed Jan 7 21:38:42 2015
1.171.62.250 # lfd: (smtpauth) Failed SMTP AUTH login from 1.171.62.250 (TW/Taiwan/1-171-62-250.dynamic.hinet.net): 5 in the last 3600 secs - Thu Jan 8 11:52:35 2015

Anh hướng dẫn em dùng CSF để block IP SSH lỗi ko ạ, trong đó có cấu hình:

LF_SSHD =5

Nhưng các IP brutefore kia vẫn ko bị block, trong phần Bruteforce DirectAdmin vẫn hiển thị các IP này, và em phải block thủ công.

 

Re: Nhờ xử lý malware trên webserver

Cảm ơn anh Diep.
Server của em đã cài CSF nhưng nó chỉ block được các IP đăng nhập sai như này:



Anh hướng dẫn em dùng CSF để block IP SSH lỗi ko ạ, trong đó có cấu hình:

Nhưng các IP brutefore kia vẫn ko bị block, trong phần Bruteforce DirectAdmin vẫn hiển thị các IP này, và em phải block thủ công.

CSF mình cũng test thử nhưng không thấy chặn được.
Ngoài việc đặt mật khẩu mạnh ra hiện trên mình có gửi link hướng dẫn trên diễn đàn cài công cụ chống tấn công bruteforce
cho server log số 1 bạn gửi đó.
https://whitehat.vn/threads/8870-Chong-bruceforce-server-linux.html

 

Re: Nhờ xử lý malware trên webserver

Nếu CSF làm được thì tốt đỡ phải cài thêm, nhưng thế này thì chắc phải cài thêm như hướng dẫn của anh rồi.
Cảm ơn anh.