Wir haben viel über die eingehenden WordPress-Bruteforce-Angriffe gehört. Bei der Überprüfung können wir sehen, dass die eingehenden Angriffs-IPs möglicherweise cpanel installiert haben und tatsächlich von einem anderen infizierten Server generiert werden.
Zwei Tage zuvor haben wir von einem unserer Kunden eine Nachricht erhalten, dass das Rechenzentrum ihn darüber informiert hat, dass der Server infiziert ist und Angriffe auf andere Server generiert. Anfangs bin ich nicht in der Lage, irgendwelche Details bezüglich des Angriffs zu erfahren, da kein bösartiger Prozess läuft und die Scan-Verwendung mir keinen gültigen Hinweis auf diesen Angriff gab .
Ich habe gerade das Ergebnis von tcpdump überprüft, um zu sehen, welche Daten vom Server übertragen werden.
user@host ~ # tcpdump -A -i eth0 -s 1500 port not 22
Während ich die Ergebnisse überprüfe, sehe ich, dass etwas vor sich geht und viele wp-login.php-Einträge waren im Gange.
Beispiel tcpdump-Ausgabe (geänderte Domänen- und Hostnamen)
v.G....pPOST /restaurants/wp-login.php HTTP/1.0^M Host: domain.com^M Content-Type: application/x-www-form-urlencoded^M Content-Length: 30^M ^M log=admin&pwd=minedoruksay2940 06:15:22.056294 IP host5.domain.com > host6.domain.com48202: Flags [P.], seq 2779525802:2779527849, ack 2761432155, win 3216, options [nop,nop,TS val 166530731 ecr 1994475337], length 2047
Ich habe versucht, Apache und mysql, psa zu stoppen, und immer noch liefen einige Prozesse als www-data-Benutzer und der Prozess war ungefähr so wie unten.
www-data 1258 10.8 1.5 18327 1268 ? Ssl Dec10 129:10 /usr/bin/host
Ich habe das lsof-Ergebnis dieses Befehls genommen und den Schuldigen (Konto) für diesen Angriff verantwortlich gemacht 🙂 Danke an den lsof-Befehl, der mir den korrekten Standort und die richtigen Skripte gegeben hat.
Relevante Ausgabe des lsof-Befehls
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME host 20636 username cwd DIR 9,2 4096 60874901 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js host 20636 username rtd DIR 9,2 4096 2 / host 20636 username txt REG 9,2 120240 68160132 /usr/bin/host host 20636 username DEL REG 9,2 60817452 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so host 20636 username mem REG 9,2 22928 23855190 /lib/libnss_dns-2.11.3.so host 20636 username mem REG 9,2 51728 23855282 /lib/libnss_files-2.11.3.so host 20636 username mem REG 9,2 12582912 60827148 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg host 20636 username DEL REG 9,2 60817412 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
cwd : /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js
Der obige Eintrag von lsof bedeutet, dass der Angriff von diesem Ordner aus generiert wird und sich Skripte an diesem Ort befinden.
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
Die drei oben genannten Dateien sind die wichtigsten Hack-Dateien, in denen /bruteforce.so zu diesem Zeitpunkt nicht auf dem Server vorhanden war . Dieses Skript wurde kurz nach Beginn des Angriffs entfernt.
Um dies zu beheben, habe ich den gesamten „js“-Ordner entfernt und dann alle diese Prozesse beendet. Hat den Kunden auch gebeten, das Plugin zu entfernen. Es wäre gut, wenn wir die Host-Binärdatei (/usr/bin/host) entfernen könnten. Wenn es dort ist, können sie mit dem Angriff erneut zurückkommen und die Serverreputation innerhalb weniger Stunden zerstören.