WordPressのインバウンドブルートフォース攻撃について多くのことを聞いています。確認すると、インバウンドアタックIPにcpanelがインストールされている可能性があり、実際には感染している他のサーバーから生成されていることがわかります。
2日前に、データセンターからサーバーが感染しており、他のサーバーへの攻撃が発生していることを通知したというメッセージがクライアントから届きました。不正なプロセスが実行されておらず、スキャンを使用してもこの攻撃に関する有効な手がかりが得られなかったため、最初は攻撃に関する詳細を取得できませんでした。
tcpdumpの結果をチェックして、サーバーから転送されているすべてのデータを確認していました。
user@host ~ # tcpdump -A -i eth0 -s 1500 port not 22
結果を確認していると、何かが起こっていて、多くのwp-login.phpエントリが起こっていることがわかります。
サンプルのtcpdump出力(変更されたドメインとホスト名)
v.G....pPOST /restaurants/wp-login.php HTTP/1.0^M Host: domain.com^M Content-Type: application/x-www-form-urlencoded^M Content-Length: 30^M ^M log=admin&pwd=minedoruksay2940 06:15:22.056294 IP host5.domain.com > host6.domain.com48202: Flags [P.], seq 2779525802:2779527849, ack 2761432155, win 3216, options [nop,nop,TS val 166530731 ecr 1994475337], length 2047
apacheとmysql、psaを停止しようとしましたが、それでもwww-dataユーザーとして実行されているプロセスがあり、そのプロセスは次のようなものでした。
www-data 1258 10.8 1.5 18327 1268 ? Ssl Dec10 129:10 /usr/bin/host
このコマンドのlsofの結果を取得し、この攻撃の原因となった犯人(アカウント)を取得しました🙂正しい場所とスクリプトを提供してくれたlsofコマンドに感謝します。
lsofコマンドからの関連する出力
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME host 20636 username cwd DIR 9,2 4096 60874901 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js host 20636 username rtd DIR 9,2 4096 2 / host 20636 username txt REG 9,2 120240 68160132 /usr/bin/host host 20636 username DEL REG 9,2 60817452 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so host 20636 username mem REG 9,2 22928 23855190 /lib/libnss_dns-2.11.3.so host 20636 username mem REG 9,2 51728 23855282 /lib/libnss_files-2.11.3.so host 20636 username mem REG 9,2 12582912 60827148 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg host 20636 username DEL REG 9,2 60817412 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
cwd : /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js
lsofからの上記のエントリは、攻撃がこのフォルダから生成されており、スクリプトがこの場所にあることを意味します。
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
上記の3つのファイルは、その時点で/bruteforce.soがサーバーに存在していなかった主なハッキングファイルです。このスクリプトは、攻撃が開始された直後に削除されました。
これを修正するために、「js」フォルダー全体を削除してから、これらすべてのプロセスを強制終了しました。また、プラグインを削除するようにクライアントに依頼しました。ホストバイナリ(/ usr / bin / host)ファイルを削除できれば便利です。そこにある場合、彼らは再び攻撃に戻って、数時間以内にサーバーの評判を殺す可能性があります。