MAYHEM — многоцелевой бот для *NIX-серверов. Расследование Яндекс.Безопасности

[SLY_G]

А как php скрипт попадает на сервер?

[opium]

в 90 процентах случаев через украденный трояном пароль юзера от фтп, остальное обычно уязвимости в скриптах, панелях и прочем.

[alextheraven]

Последние два скриншота как раз об этом. Во-первых, слабые пароли, во-вторых уязвимые версии плагинов, использование старых версий CMS и тп. Если у вас сайт на Wordpress, то можно попробовать проверить его на наличие уязвимых плагинов при помощи сканера от команды www.wpscan.org

[mihavxc]

Судя по всему сталкивался с этим ботнетом.
Заметил, что процесс /usr/bin/host работает от www-data и генерирует уйму трафика.
serverfault.com/questions/554801/usr-bin-host-being-used-in-http-ddos-on-debian

Если погуглить, то большинство грешит на WordPress. Вроде вычистил, по крайней мере за последние 3 месяца аномалий не было замечено.

Может порекомендуете как еще проверить, что сервер сейчас не заражен?

[alextheraven]

Можно посмотреть висящие процессы /usr/bin/host, поискать на диске файлы .sd0, попробовать также find. -type f -name "*.php" | xargs grep «MAYHEM».

Также можно попробовать проверить всю директорию Sophos'ом, мы отправляли им сэмпл, они сделали детект.

[mihavxc]

Спасибо за ответ. Как раз .sd0 и находил.
Пойду читать про Sophos.

[alextheraven]

Немного ошибся, правильно будет
find . -type f -name "*.php" | xargs grep «MAYHEM»

[powerman]

Ну тогда уж скорее:
find / -type f -name "*.php" -print0 | xargs -0 grep MAYHEM

[nojoke]

Поделитесь сэмплом пожалуйста в свой антивирус вставить.

[alextheraven]

Присылайте свой почтовый адрес в личку!

[Tomatos]

В случае rpm-дистрибутива можно воспользоваться rpm -V

[ValdikSS]

Ну, если установят руткит, то это не поможет. Как и всякие chkrootkit/rkhunter. У меня есть пара своих детекторов руткитов, но, в принципе, от них тоже можно легко защититься.
milabs описывал способ более грамотного подхода к детекту, но, иногда, его нельзя использовать, например, если у вас контейнер (VPS на OpenVZ, например).

[not_ice]

А можете список паролей выложить? Хочется пробить пароли от клиентских серверов из keepass по этому списку, так, для душевного спокойствия)

[solver]

У вас в keepass лежат словарные пароли для серверов??

[tgz]

PHP == People Have Problems

[BuriK666]

Тут уж PHP вообще непричем.

[forgotten]

Ни при чем.

[ivvi]

Не при чём.

[forgotten]

www.gramota.ru/spravka/hardwords/25_266
ru.wiktionary.org/wiki/%D0%BD%D0%B8_%D0%BF%D1%80%D0%B8_%D1%87%D1%91%D0%BC
dic.academic.ru/dic.nsf/efremova/197280/%D0%9D%D0%B8

[TIEugene]

Сейчас в моде не русский, а олбанский.
Даже в этой статье:
«Широкий канал, отличный uptime и мощное железо делают сервера привлекательной целью для заражения».
СерверА.
«ИнженерА со средствАми», блин.
</сарказм>

[anton]

Сервера — это не албанский, всё же, а жаргонизм. Вполне уместный, на мой взгляд, в профессиональном сообществе.

[bogolt]

А мы тут за модой не бегаем.

[denser]

Спасибо, любопытный материал, а главное — подробный.

[Self_Perfection]

То есть бот никак не защищается от возможной смерти процесса host? Никакой автозапуск, хоть бы и по крону, не предусмотрен?

[alextheraven]

В процессе работы в процессе host бот перехватывает управление и не дает завершиться процессу. Если же по какой либо причине процесс умер — C&C раз в какое-то время обходит такие хосты и запускает заново исходный phpскрипт

[avryabov]

А если сервер перегружен? как C&C восстанавливает над ним контроль?

[ValdikSS]

и не дает завершиться процессу

Вот и я думаю, если он exit() перехватывает, процесс же становится неким «зомби». Как бы не зомби в привычном смысле, но все init-скрипты, ожидающие завершения, должны же сломаться, верно?

[alextheraven]

exit перехватывается только в одном процессе host, который запускается этим php скриптом

[J_o_k_e_R]

php-скрипт, который после запуска определяет архитектуру системы (x86 или x64) и наличие прав на запись в текущую директорию

Я стесняюсь задавать такой вопрос в столь серьезном блоге, но зачем давать права на запись веб-серверу туда, откуда запускаются php скрипты?

[veam]

Занимался этим в свое время, почти 100% сайтов имеют права на запись хотя бы в одну папку.
Ну и к примеру этот же php скрипт можно и через ssh от пользователя запустить при наличии украденного пароля.

[Osipov]

Права на запись в подавляющем большинстве случаев есть на директории, в которые из CMS (и не только) загружается контент, а также на папки кэша, логов (если таковые ведутся со стороны CMS) и т.п.

[glagola]

А при условии, что одна из самых популярных CMS Wordpress с недавних пор имеет функцию автообновления (пусть даже для минорных релизов), что свидетельствует о наличии прав на запись, рост количества зараженных серверов может быть весьма стремительным.

[powerman]

С точки зрения безопасности ещё не ясно что хуже — права на запись с автообновлением, или просто устаревшая дырявая версия (плюс всё-равно права на запись в некоторые вышеупомянутые каталоги).

[Nastradamus]

А с FreeBSD были прецеденты заражения?

[alextheraven]

Да, были!

[DerBlogger]

Я вот только не понял из текста, а как Вы получили доступ к админке ботнета? Или там аутентификация не была предусмотрена?

[DarkByte]

Авторизация обычно есть, но зачастую админки ботнетов содержат примерно столько же уязвимостей, сколько эксплуатируемыми ботами этой сети сайты.

[Flex25]

> После php-скрипт [… ] запускает процесс “/usr/bin/host” с подгрузкой в него shared object при помощи техники LD_PRELOAD

А можно поинтересоваться, как именно PHP-скрипт может запустить какой-либо процесс в ОС?

На вашем скриншоте с кодом этот момент как раз не показан. Хотелось бы на него посмотреть.

Я понимаю, что в PHP для этого существуют функции типа system() и dl(), но они у всех адекватных хостеров отключены. Поэтому на данный момент мне кажется, что проблема связана скорее с неадекватной настройкой прав интерпретатора PHP.

[Flex25]

Разобрался. Как я и думал, PHP-скрипт злоумышленника запускает команды ОС через стандартную PHP-функцию system(). Вот скриншот кода: www.virusbtn.com/virusbulletin/archive/2014/07/figures/Mayhem-fig3.jpg

По-моему именно разрешенная функция system() и является основной бедой на сервере жертвы. Так что если в вашем PHP-интерпретаторе она выключена, можете спокойно выдохнуть. А если нет, то выключите ее через php.ini.

[DarkByte]

На моём сервере были отключены все функции для выполнения команд ОС (типа system), а так же включен open_basedir, но «злоумышленнику» удалось обойти оба эти ограничения, так как в используемой мной версии php имелась уязвимость класса RCE в функции отправки почты. Кроме того, он воспользовался неизвестной на тот момент уязвимость в классе DirectoryIterator, которая позволяла обойти ограничение open_basedir.

[pavelodintsov]

Ради справедливости, мы проанилизировали поверхностно эту заразу еще в апреле и опубликовали часть наших изысканий в мае: тут и передали в ведущие антивирусные компании его паттерны — Kaspersky, DrWeb, ClamAW.

Зараза очень популярная, у нас уже каждый день поддержка выгребает штук несколько таких. Источники проникновения в 99% случаев — дырявые CMS на php.

[alextheraven]

Мы тоже столкнулись с этим в апреле, но у нас много времени заняло само исследование, подготовка текста и т.д. Если в следующий раз найдете подобное — пришлите пожалуйста и нам.

[pavelodintsov]

У нас такой радости почти каждый день море. Но ситуация усложняется тем, что это клиентское оборудование и там соответствующая политика конфиденциальности =(

Какова судьба libwoker? Командные центры выведены из строя?

[alextheraven]

см. личку

[ainu]

Способ избавиться в дальнейшем от напасти (именно от этой) — добавить в файл /etc/cron.deny строчку с www-data (у нас под ним запускается сервер). Так как зараза использует cron в процессе использования себя, это должно не дать заразить систему в случае появления очередной уязвимости.