正体不明のPerlプロセスは、トロイだった・・orz

CentOS

サーバーがトロイの木馬にやられていた

先日の投稿で記した通り、切り分けを行いました。MovableTypeが怪しいんじゃないかと言う私の予想で、このブログを停止していたのですが、症状が再現してしまいました。Perlプロセスが動くもので他には?という考えに、ちょっとしたBBS系のCGI等が頭に浮かびましたが、今日は仕事が休みだったので、プロセスを生かしたまま、reniceで優先度を下げて保持し調査をしました。

/proc/プロセスID/

この辺りを調べて、/usr/sbin/apache/logというコマンドが実行されているぽいことが分かりましたが、そのファイルやディレクトリは存在しません。ネットで検索してみたところ、同じ症状に困っている人(英文)を見つけましたが、どうやらちょっとウチとは違うみたいです。ただ、クラッキングを受けている可能性が高いことはわかりました。

という訳でApacheからアクセス出来るディレクトリを調査することにしました。

  • /tmp/new.txt

という名前のファイルで、中身を見たら怪しげなPerlスクリプトでした。どうやらバックドアを仕掛けられたみたいです。Windows環境にSCPで持ってきたとたんに、Micrsoft Security Essensialが警告を出しました。

Backdoor.Perl/Shellbot.S

# This code is based on atrix (brazil) shellbot, somebody ripped all the credits, but its obviusly a rip.
# so the original author is atrix. the spread perl code was developed by sirhot (i am almost  sure) he is from morocco.
# Note to David Jacoby: Expect a few improvements for the next release.
#
# The following comments are only left in the code to ridiculize this guy.
# --------------------------------------------------------------
# Morgan has hacked you!
# Morgan Argentina, santiago del estero
# http://irc.irc-argentina.org/x.conf
# http://img521.imageshack.us/img521/3779/morganlammer6tu.png
Code language: PHP (php)

やられた・・完全にやられてしまいました。こいつのせいでPerlプロセスがCPUリソースを食いまくっていたわけですね。スクリプトの冒頭部分のみですが、こういうのを残してる時点で誰かが作ったものを使ってるだけの、いわゆる「スクリプトキディ」て奴でしょう。おそらくrootは取られていないと思います。(カモフラージュなのかも知れないけど)

しかしどうやって/tmpに放り込んだのか?(所有権がApacheになっているのでApacheを利用しているのは分かりますが手口を全く知りません。興味ないジャンルなので知るハズもないけどこういう手口も勉強しないといけないのかなぁ。)

Micrsoft Security Essensialが検出したってことは、Windows環境でも知られているという事だから、ClamAV辺りでも検出出来るかな?とテストしてみたら一発で見つけてくれました。

という事でClamAVをインストールしとくことにしました。どんだけ効果があるか分かりませんが、今回の場合はインストールしておけば未然に防げたという事ですからね。ClamAVは下記サイトを参考にさせていただきました。非常にわかりやすかったです。

アンチウィルスソフト導入(Clam AntiVirus) – CentOSで自宅サーバー構築

これでMTの疑惑は晴れましたが、とっととWordPressに移行するべきなんだろうな。

PS

new.txtの正体が少しわかってきました。
何かしらの方法で
http://cococody.home.ro/new.txt
cococody.home.ro
からダウンロードさせられてました。
テキストファイル形式ですが、明らかにボットウイルスらしいのでアクセスは自己責任で。

更に追記

おそらくphpMyAdminのsetup.phpの脆弱性を突かれた可能性ありです。私自身phpMyAdminの存在をすっかり忘れていて(最初に使ったっきり)、これはうっかりしていたと反省です。ただし脆弱性が公表されているバージョンよりも新しいものを使っていましたが、ログの解析によると何度かsetup.phpが実行された痕跡があり、その時間とほぼ同じ時刻に上記のnew.txtをダウンロードしようとして弾かれていました。

ApacheのErrorログに記されていましたので私が確認したものは未遂だったと思われますが、もしかしたら例のApache Kellerの対策が遅れた数日間の間に仕込まれた可能性があります。これについては対策済です。

VPSは便利ですがむき出しのネットワークに接続されていて、無国籍(明らかに不要なアクセスはフィルタリングしてますが・・)の攻撃を受けるという事を再認識しました。やりすぎは無い位のセキュリティ対策をしておくべきだと認識しました。

教訓:phpMyAdminには最低限の備えとしてベーシック認証をかけとけ。

スポンサーリンク

コメント

Comment spam is annoying.

There has been an increase in comment spam, but we decline it. It’s pointless because we use Akismet to block spam comments. Spam comments will not be posted.

コメントスパムが増えていますがお断りします。akismetでスパムコメントを弾いているので無意味です。スパムコメントは掲載されません。

ブロックしたスパム

8,886件のスパムAkismet によってブロックされました

DMM広告

タイトルとURLをコピーしました