Abbiamo sentito parlare molto degli attacchi Bruteforce in entrata di WordPress. Al controllo possiamo vedere che gli IP di attacco in entrata potrebbero avere cpanel installato e in realtà stanno generando da qualche altro server che è infetto.
Due giorni prima, abbiamo ricevuto un messaggio da un nostro cliente che diceva che il data center lo ha informato che il server è infetto e sta generando attacchi ad altri server. Inizialmente non sono in grado di ottenere nessuno dei dettagli relativi all'attacco poiché nessun processo canaglia è in esecuzione né l'utilizzo della scansione mi ha fornito alcun indizio valido su questo attacco.
Stavo solo controllando il risultato di tcpdump per vedere quali dati vengono trasferiti dal server.
user@host ~ # tcpdump -A -i eth0 -s 1500 port not 22
Durante il controllo dei risultati, posso vedere che qualcosa sta succedendo e molte voci wp-login.php sono in corso.
Esempio di output di tcpdump (dominio e nomi host modificati)
v.G....pPOST /restaurants/wp-login.php HTTP/1.0^M Host: domain.com^M Content-Type: application/x-www-form-urlencoded^M Content-Length: 30^M ^M log=admin&pwd=minedoruksay2940 06:15:22.056294 IP host5.domain.com > host6.domain.com48202: Flags [P.], seq 2779525802:2779527849, ack 2761432155, win 3216, options [nop,nop,TS val 166530731 ecr 1994475337], length 2047
Ho provato a fermare apache e mysql ,psa e ancora alcuni processi erano in esecuzione come utente www-data e il processo era qualcosa come il seguente.
www-data 1258 10.8 1.5 18327 1268 ? Ssl Dec10 129:10 /usr/bin/host
Ho preso il risultato lsof di questo comando e ho avuto il colpevole (account) responsabile di questo attacco 🙂 Grazie al comando lsof per darmi posizione e script corretti.
Output rilevante dal comando lsof
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME host 20636 username cwd DIR 9,2 4096 60874901 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js host 20636 username rtd DIR 9,2 4096 2 / host 20636 username txt REG 9,2 120240 68160132 /usr/bin/host host 20636 username DEL REG 9,2 60817452 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so host 20636 username mem REG 9,2 22928 23855190 /lib/libnss_dns-2.11.3.so host 20636 username mem REG 9,2 51728 23855282 /lib/libnss_files-2.11.3.so host 20636 username mem REG 9,2 12582912 60827148 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg host 20636 username DEL REG 9,2 60817412 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
cwd : /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js
La voce sopra da lsof indica che l'attacco è stato generato da questa cartella e gli script si trovano in questa posizione.
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
Sopra i 3 file ci sono i principali file di hacking in cui /bruteforce.so non era presente nel server in quel momento. Questo script è stato rimosso subito dopo l'inizio dell'attacco.
Per risolvere questo problema, ho rimosso l'intera cartella "js" e quindi ho ucciso tutti questi processi. Ha anche chiesto al client di rimuovere il plug-in. Sarebbe utile se riuscissimo a rimuovere il file binario host (/usr/bin/host). Se è lì, possono tornare di nuovo con l'attacco e possono uccidere la reputazione del server in poche ore.