Nous avons beaucoup entendu parler des attaques WordPress Inbound Bruteforce. En vérifiant, nous pouvons voir que cpanel est peut-être installé sur les adresses IP d'attaque entrante et qu'elles sont en fait générées à partir d'un autre serveur infecté.
Deux jours avant, nous avons reçu un message d'un de nos clients disant que le centre de données l'a informé que le serveur est infecté et génère des attaques sur d'autres serveurs. Au départ, je ne suis pas en mesure d'obtenir les détails concernant l'attaque car aucun processus malveillant n'est en cours d'exécution et aucune analyse ne m'a donné d'indice valable sur cette attaque.
Je vérifiais juste le résultat de tcpdump pour voir quelles données étaient transférées depuis le serveur.
user@host ~ # tcpdump -A -i eth0 -s 1500 port not 22
En vérifiant les résultats, je peux voir qu'il se passe quelque chose et que de nombreuses entrées wp-login.php étaient en cours.
Exemple de sortie tcpdump (domaine et noms d'hôte modifiés)
v.G....pPOST /restaurants/wp-login.php HTTP/1.0^M Host: domain.com^M Content-Type: application/x-www-form-urlencoded^M Content-Length: 30^M ^M log=admin&pwd=minedoruksay2940 06:15:22.056294 IP host5.domain.com > host6.domain.com48202: Flags [P.], seq 2779525802:2779527849, ack 2761432155, win 3216, options [nop,nop,TS val 166530731 ecr 1994475337], length 2047
J'ai essayé d'arrêter apache et mysql, psa, et certains processus fonctionnaient toujours en tant qu'utilisateur www-data et le processus ressemblait à ce qui suit.
www-data 1258 10.8 1.5 18327 1268 ? Ssl Dec10 129:10 /usr/bin/host
J'ai pris le résultat lsof de cette commande et j'ai obtenu le coupable (compte) responsable de cette attaque 🙂 Merci à la commande lsof de me donner l'emplacement et les scripts corrects.
Sortie pertinente de la commande lsof
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME host 20636 username cwd DIR 9,2 4096 60874901 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js host 20636 username rtd DIR 9,2 4096 2 / host 20636 username txt REG 9,2 120240 68160132 /usr/bin/host host 20636 username DEL REG 9,2 60817452 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so host 20636 username mem REG 9,2 22928 23855190 /lib/libnss_dns-2.11.3.so host 20636 username mem REG 9,2 51728 23855282 /lib/libnss_files-2.11.3.so host 20636 username mem REG 9,2 12582912 60827148 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg host 20636 username DEL REG 9,2 60817412 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
cwd : /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js
L'entrée ci-dessus de lsof signifie que l'attaque est générée à partir de ce dossier et que les scripts sont situés à cet emplacement.
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
Les 3 fichiers ci-dessus sont les principaux fichiers de piratage dans lesquels /bruteforce.so n'était pas présent sur le serveur à ce moment-là. Ce script a été supprimé peu de temps après le lancement de l'attaque.
Pour résoudre ce problème, j'ai supprimé l'intégralité du dossier "js", puis j'ai tué tous ces processus. A également demandé au client de supprimer le plugin. Ce serait bien si nous pouvions supprimer le fichier binaire hôte (/usr/bin/host). S'il est là, ils peuvent à nouveau revenir avec l'attaque et tuer la réputation du serveur en quelques heures.