1.Hiện tượng 1
Server có dấu hiệu load cao, hoặc mail queue tăng nhanh thì rất có khả năng do malware tấn công trên môi trường share hosting.
1.2.Kiểm tra
Cách đơn giản nhất thường là list các process php đang chạy xem có filename nào đáng nghi thì kiểm tra kỹ hơn vào mã nguồn.
# ps auxf | grep php a14764 567831 74.0 0.0 434164 57772 ? R 16:10 0:00 | \_ /usr/bin/php /home/a14764/public_html/xmlrpc.php 919 567875 0.0 0.0 385084 17272 ? R 16:10 0:00 | \_ /usr/bin/php /home/dautay25mo/public_html/xmlrpc.php b10741 567876 0.0 0.0 389036 22292 ? R 16:10 0:00 | \_ /usr/bin/php /home/b10741/public_html/index.php 919 567841 80.0 0.1 291132 108144 ? R 16:10 0:00 | \_ /usr/bin/php /home/dautay25mo/public_html/wp-admin/admin-ajax.php 847 567872 52.0 0.1 336440 92036 ? R 16:10 0:00 | \_ /usr/bin/php /home/quangc73gr/public_html/index.php 919 567881 0.0 0.0 208604 8476 ? R 16:10 0:00 \_ /usr/bin/php /home/dautay25mo/public_html/index.php
Tìm kiếm file được tạo ra vào 1 ngày cụ thể
# find . -type f -newermt 2007-06-07 ! -newermt 2007-06-08
1.3.Hướng xử lý
Nếu thấy filename lạ thì vào xem check mã nguồn.
# cat .....
Nếu đúng là malware thì remove file và kill những process vẫn còn đang chạy.
# mv <malware> /tmp/ # pkill -9 -u username
2.1.Hiện tượng 2
-
Trong quá trình giám sát vận hành, phát hiện tiến trình lạ
# ps auxf 2099 863667 0.0 0.0 11308 1300 ? S Sep15 0:00 sh -c /home/jminhhu21mo/.cphorde/XEIF -a cryptonight -o stratum+tcp://185.129.148.167:8848 -t 1 -u 44m4b4aqYTVcr7mRhzqFFqNmY5JvWrX4YCv6jDviXFpKjbVbpRZKqMzMFYQPJY5GnC2KxkM EskAwfip3T9Kszris4xWYRWX > /dev/null 2>&1 2099 863668 98.3 0.0 301072 5412 ? Sl Sep15 8465:33 \_ /home/jminhhu21mo/.cphorde/XEIF -a cryptonight -o stratum+tcp://185.129.148.167:8848 -t 1 -u 44m4b4aqYTVcr7mRhzqFFqNmY5JvWrX4YCv6jDviXFpKjbVbpRZKqMzMFYQPJY5GnC2KxkMEs kAwfip3T9Kszris4xWYRWX
2.2.Kiểm tra
-
Upload file XEIF lên virustotal.com check ra kết quả là malware BitcoinMiner
-rwxr--r-- 1 jminhhu21mo jminhhu21mo 168K Sep 14 02:50 .cphorde/XEIF*
-
Kiểm tra thư mục public_html cũng phát hiện một số file malware khác
drwxr-xr-x 2 jminhhu21mo jminhhu21mo 4.0K Apr 28 14:51 generals/ -rw-r--r-- 1 jminhhu21mo jminhhu21mo 18K Apr 28 15:05 mother.php -rw-r--r-- 1 jminhhu21mo jminhhu21mo 136 May 28 2015 smqyuhjp.php -rw-r--r-- 1 jminhhu21mo jminhhu21mo 4.8K Apr 28 15:31 status.412.php
-
Tìm kiếm theo ngày phát sinh những file malware trên để tìm ra những file nghi vấn khác
# find . -newermt 2017-04-28 ! -newermt 2017-04-29 ./public_html/mother.php ./public_html/google6458242adee0ab87.html ./public_html/status.412.php ./public_html/generals ./public_html/generals/moban.html ./public_html/generals/install.php ./public_html/generals/popup-pomo.php ./public_html/generals/server.php ./public_html/websitemap ./public_html/websitemap/sitemap9.xml ./public_html/websitemap/sitemap1.xml ./public_html/websitemap/sitemap8.xml ./public_html/websitemap/sitemap5.xml ./public_html/websitemap/sitemap7.xml ./public_html/websitemap/sitemap10.xml ./public_html/websitemap/sitemap2.xml ./public_html/websitemap/sitemap4.xml ./public_html/websitemap/sitemap3.xml ./public_html/websitemap/sitemap6.xml ./public_html/wp-content/themes/webdoctor/404.php
# find . -newermt 2015-05-28 ! -newermt 2015-05-29 ./public_html/.htaccess ./public_html/smqyuhjp.php ./public_html/wp-includes/Requests/Response/dvqksdqa.php ./public_html/wp-includes/js/mediaelement/btpuzxqt.php ./public_html/wp-content/themes/twentyseventeen/template-parts/bauumhhr.php ./public_html/wp-content/themes/webdoctor/translation/mkmcjfxb.php
# find . -newermt 2017-09-14 ! -newermt 2017-09-15 ./.cphorde ./.cphorde/XEIF ./logs
3.1.Hiện tượng 3
-
Trong quá trình giám sát vận hành, phát hiện tiến trình lạ bằng lệnh “top”
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 330979 vistar41 20 0 62696 24m 844 S 0.3 0.0 0:00.53 perl
3.2.Kiểm tra
-
Dùng lệnh lsof -p để xem tiến trình này tương tác những gì
# lsof -p 330979 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME perl 330979 vistar41mo cwd DIR 253,0 4096 46939257 / perl 330979 vistar41mo rtd DIR 253,0 4096 46939257 / perl 330979 vistar41mo txt REG 253,0 7184 46945252 /usr/bin/perl perl 330979 vistar41mo mem REG 253,0 21056 47587167 /usr/lib64/perl5/auto/File/Glob/Glob.so perl 330979 vistar41mo mem REG 253,0 120008 47580903 /usr/lib64/perl5/auto/POSIX/POSIX.so perl 330979 vistar41mo mem REG 253,0 17976 47580864 /usr/lib64/perl5/auto/Fcntl/Fcntl.so perl 330979 vistar41mo mem REG 253,0 133832 47586791 /usr/lib64/perl5/auto/Socket/Socket.so perl 330979 vistar41mo mem REG 253,0 19336 47580884 /usr/lib64/perl5/auto/IO/IO.so perl 330979 vistar41mo mem REG 253,0 10312 42729485 /lib64/libfreebl3.so perl 330979 vistar41mo mem REG 253,0 1924768 42729481 /lib64/libc-2.12.so perl 330979 vistar41mo mem REG 253,0 143280 42729505 /lib64/libpthread-2.12.so perl 330979 vistar41mo mem REG 253,0 15056 42730034 /lib64/libutil-2.12.so perl 330979 vistar41mo mem REG 253,0 40872 42730010 /lib64/libcrypt-2.12.so perl 330979 vistar41mo mem REG 253,0 596864 42730014 /lib64/libm-2.12.so perl 330979 vistar41mo mem REG 253,0 20024 42730012 /lib64/libdl-2.12.so perl 330979 vistar41mo mem REG 253,0 113904 42730016 /lib64/libnsl-2.12.so perl 330979 vistar41mo mem REG 253,0 111440 42730028 /lib64/libresolv-2.12.so perl 330979 vistar41mo mem REG 253,0 1485896 47580641 /usr/lib64/perl5/CORE/libperl.so perl 330979 vistar41mo mem REG 253,0 159312 42730002 /lib64/ld-2.12.so perl 330979 vistar41mo 0r CHR 1,3 0t0 46949699 /dev/null perl 330979 vistar41mo 1w CHR 1,3 0t0 46949699 /dev/null perl 330979 vistar41mo 2w CHR 1,3 0t0 46949699 /dev/null perl 330979 vistar41mo 3u IPv4 1858527273 0t0 TCP *:43210 (LISTEN) perl 330979 vistar41mo 4w FIFO 0,8 0t0 1781068119 pipe perl 330979 vistar41mo 5r FIFO 0,8 0t0 1781068120 pipe perl 330979 vistar41mo 6u unix 0xffff880c8e360100 0t0 1780183605 /usr/local/apache/logs/cgisock.34896 perl 330979 vistar41mo 7u IPv4 1783940450 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:57505 (CLOSE_WAIT) perl 330979 vistar41mo 8u IPv4 1783940451 0t0 TCP shost010.tenten.vn:53553->mynestsweetnest.com:http (CLOSE_WAIT) perl 330979 vistar41mo 9u IPv4 1784272175 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:37290 (CLOSE_WAIT) perl 330979 vistar41mo 10u IPv4 1784272176 0t0 TCP shost010.tenten.vn:ethercat->server.futurexs.nl:http (CLOSE_WAIT) perl 330979 vistar41mo 11u IPv4 1784272276 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:58464 (CLOSE_WAIT) perl 330979 vistar41mo 12u IPv4 1784272277 0t0 TCP shost010.tenten.vn:53300->sv2104.xserver.jp:http (CLOSE_WAIT) perl 330979 vistar41mo 13u IPv4 1784426576 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:57279 (CLOSE_WAIT) perl 330979 vistar41mo 14u IPv4 1784426577 0t0 TCP shost010.tenten.vn:38824->s5.default-host.net:http (CLOSE_WAIT) perl 330979 vistar41mo 15u IPv4 1784432331 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:52194 (CLOSE_WAIT) perl 330979 vistar41mo 16u IPv4 1784432332 0t0 TCP shost010.tenten.vn:51543->110.45.145.220:http (CLOSE_WAIT) perl 330979 vistar41mo 17u IPv4 1817871584 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:33588 (CLOSE_WAIT) perl 330979 vistar41mo 18u IPv4 1817871585 0t0 TCP shost010.tenten.vn:55372->hans-moleman.w3.org:http (CLOSE_WAIT) perl 330979 vistar41mo 19u IPv4 1836777070 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:48557 (CLOSE_WAIT) perl 330979 vistar41mo 20u IPv4 1836777071 0t0 TCP shost010.tenten.vn:43756->hans-moleman.w3.org:http (CLOSE_WAIT) perl 330979 vistar41mo 21u IPv4 1843204051 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:51573 (CLOSE_WAIT) perl 330979 vistar41mo 22u IPv4 1843204052 0t0 TCP shost010.tenten.vn:47714->192-185-198-54.unifiedlayer.com:http (CLOSE_WAIT) perl 330979 vistar41mo 23u IPv4 1843791837 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:53277 (CLOSE_WAIT) perl 330979 vistar41mo 24u IPv4 1843791838 0t0 TCP shost010.tenten.vn:43631->ec2-54-225-154-171.compute-1.amazonaws.com:http (CLOSE_WAIT) perl 330979 vistar41mo 25u IPv4 1844019924 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:33085 (CLOSE_WAIT) perl 330979 vistar41mo 26u IPv4 1844019925 0t0 TCP shost010.tenten.vn:37887->box73.bluehost.com:http (CLOSE_WAIT) perl 330979 vistar41mo 27u IPv4 1844356229 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:39453 (CLOSE_WAIT) perl 330979 vistar41mo 28u IPv4 1844356230 0t0 TCP shost010.tenten.vn:50046->box385.bluehost.com:http (CLOSE_WAIT) perl 330979 vistar41mo 29u IPv4 1848602249 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:49987 (CLOSE_WAIT) perl 330979 vistar41mo 30u IPv4 1848602250 0t0 TCP shost010.tenten.vn:47081->hans-moleman.w3.org:http (CLOSE_WAIT) perl 330979 vistar41mo 31u IPv4 1852064787 0t0 TCP shost010.tenten.vn:43210->mail.binmat-pro.net:41649 (CLOSE_WAIT) perl 330979 vistar41mo 32u IPv4 1852064788 0t0 TCP shost010.tenten.vn:37332->hans-moleman.w3.org:http (CLOSE_WAIT)
-
Kiểm tra tiến trình, thấy gọi tới perl, không rõ script là gì
# ls -lh /proc/330979/ total 0 dr-xr-xr-x 7 vistar41mo vistar41mo 0 Sep 21 11:00 ./ dr-xr-xr-x 578 root root 0 Jul 19 16:47 ../ -r-------- 1 vistar41mo vistar41mo 0 Sep 21 11:01 auxv -r--r--r-- 1 vistar41mo vistar41mo 0 Sep 21 11:01 cgroup --w------- 1 vistar41mo vistar41mo 0 Sep 21 11:01 clear_refs -r--r--r-- 1 vistar41mo vistar41mo 0 Sep 21 11:00 cmdline -rw-r--r-- 1 vistar41mo vistar41mo 0 Sep 21 11:01 comm -rw-r--r-- 1 vistar41mo vistar41mo 0 Sep 21 11:01 coredump_filter -r--r--r-- 1 vistar41mo vistar41mo 0 Sep 21 11:01 cpuset lrwxrwxrwx 1 vistar41mo vistar41mo 0 Sep 21 11:01 cwd -> // -r-------- 1 vistar41mo vistar41mo 0 Sep 21 11:01 environ lrwxrwxrwx 1 vistar41mo vistar41mo 0 Sep 21 11:00 exe -> /usr/bin/perl*
-
Kiểm tra thư mục public_html của user thấy nhiều malware
# ls -lh /home/vistar41mo/public_html/ total 44M drwxr-xr-x 22 vistar41mo nobody 4.0K Sep 21 11:00 ./ drwx--x--x 19 vistar41mo vistar41mo 4.0K Sep 21 10:45 ../ -rw-r--r-- 1 vistar41mo vistar41mo 112K Sep 14 19:02 0347aaf4808.php drwxr-xr-x 4 vistar41mo vistar41mo 4.0K Sep 15 03:52 1c82/ drwxr-xr-x 2 vistar41mo vistar41mo 4.0K Sep 13 23:22 2017/ -rw-r--r-- 1 vistar41mo vistar41mo 203K Sep 7 01:39 2688398b3b.php drwxr-xr-x 4 vistar41mo vistar41mo 4.0K Sep 15 03:52 7cb9b2/ drwxr-xr-x 2 vistar41mo vistar41mo 4.0K Sep 13 23:22 ads/ drwxr-xr-x 3 vistar41mo vistar41mo 4.0K Sep 13 23:22 coins/ -rw-r--r-- 1 vistar41mo vistar41mo 142K Sep 6 19:38 content.php drwxr-xr-x 4 vistar41mo vistar41mo 4.0K Sep 13 23:22 e2803/ drwxr-xr-x 4 vistar41mo vistar41mo 4.0K Sep 13 23:22 erpoir/ -rw-r--r-- 1 vistar41mo vistar41mo 22K Sep 7 01:39 express.php -rw-r--r-- 1 vistar41mo vistar41mo 203K Sep 13 23:22 f763dc376f.php -rwxr-xr-x 1 vistar41mo vistar41mo 585 Oct 22 2016 index.php* -rw-r--r-- 1 vistar41mo vistar41mo 7.1K Feb 18 2016 new.php -rwxr-xr-x 1 vistar41mo vistar41mo 7.2K Sep 20 12:39 readme.html* -rwxr-xr-x 1 vistar41mo vistar41mo 34K Sep 20 12:39 wp-login.php* -rwxr-xr-x 1 vistar41mo vistar41mo 13K Dec 25 2016 wp-settings.php*
3.3.Giải pháp
-
Phát hiện các file có khả năng là virus (executable trong thư mục .cagefs/tmp)
# find /home/*/.cagefs/tmp/ -type f -executable
Leave a Reply