Как понять откуда появляется майнер?

Question

[Виталий Р]

Всем доброе утро.

Есть старенький сайт. Судя по всему дырявенький. Ситуация стандартная, как всегда кто-то когда-то поднял сервачек. Хозяина уже сто лет как нет. Все от сервачка открещиваются.

На нём крутиться debian + apache2.2 + php5.4 + mysql.

Хостятся 4 сайта.

Периодически появляется через php запущенный процесс - крипто-майнер. Майнит на сайт xmr.crypto-pool.fr.

В папке /tmp появляется конфиг и исполнительный файл. Иногда сразу по два процесса.

Удалаю файлик, кил процесс - хватает на 1-2 дня. Появляется снова.

Как я понял, логи после запуска процесса затираются, потому что многие логи становятся "нулевыми".

Как понять откуда он появляется ? С чего стоит начать ?

Comments

[zorca]

Поискать по файлам ключевые слова с доменом и base64.

[Виталий Р]

zorca, поискал по домену - их нет. Кроме двух ранее обнаруженных - файла конфига и исполняющего файла. искал по crypto-pool.

base64 не искал. Щас запускаю поиск.

[Виталий Р]

zorca, по base64 нашло дофига чего. Прям вообще дофигища. В папке home у всех пользователей во всяких бэкапах, во всяких ява и пхп скриптах. В файлах конфигов. В папке хостинг в каждом сайте. Короче практически везде где только можно )))

Как отсортировать именно то что мне надо ?

[Виталий Р]

zorca, Тааак... вы наверно имели ввиду поискать по шифру, который в файле конфига вируса, перед доменным именем :):)

Туплю. Щас попробую поискать по нему.

[zorca]

Виталий Р, проблема в том, что вирус на автомате дописывает себя вообще в каждый index.php обычно, так что ситуации вашей не позавидуешь. Если сайты на движках, нужно перезаливать ядро движков, если нет, то чистить каждый файл ручками.

[Виталий Р]

zorca, 3 сайта самописные, 1 на движке. вот щас еще один на движке добавляю.

Я бы разобрался откуда он лезен. Откуда файлики берет эти в темп, откуда себя дописывает. Узнав эту инфу, попытался бы его позапрещать

[zorca]

Виталий Р, он лезет из каждого php, куда дописано тело вируса. А внешний робот их просто запускает по расписанию.

[Виталий Р]

zorca, как найти где дописано тело вируса ?

[zorca]

Виталий Р, поиск по ключу base64. Вам нужно три раза написать? Тогда контрольный. Поиск по ключу base64.

[Виталий Р]

zorca, не находит ничего.

[zorca]

Виталий Р, только что чуть выше писали, что нашлось дофига всего в каждой папке. Любой фрагмент из файла php с участием base64 приведите.

[Виталий Р]

zorca, читайте дальше :) Я же написал, что тупанул. я искал "base64" а только после того как написал сюда понял, что надо сам шифр вставлять из конфига вируса. :)

Кстати, этот шифр, каждый раз разный.

[zorca]

Виталий Р, ну я так и думал, что придется еще раз повторить: ищем все php файлы, которые используют base64, анализируем каждый, если вирус - удаляем тело вируса. Не хотите делать то что вам говорят, так больше не будет никто на вопросы Ваши отвечать.

[Виталий Р]

zorca, так...

Вы имеете ввиду, что я сделал все правильно ? :) Искать [ grep -pl "base64" / ] А дальше в каждом из найденных файлов искать тело вируса ? :):):)

[zorca]

Виталий Р, бинго! )))

[Виталий Р]

zorca, ох :) какая-то жесть намечается. Ладно, отступать я не привык :)

grep -pl "base64" /*.php для начала. А может быть подскажете как искать тело вируса попроще, чем глазами всё просматривать ? :) может есть какая-то общая тенденция с помощью которой можно сочинить команду ?

[zorca]

Виталий Р, если base 64 применяется для декодирования не переменной, а абстрактного набора символов, это вирус 90%. Можете поступить по другому, прогнать сайты через сканер Aibolit. Но ручки/глазки надежнее.

[Виталий Р]

zorca, помогите команду составить для вывода только php файлов

grep -pl "base64" /hosting | grep *.php

не то выдаёт. туплю опять, не могу логику врубить :(

[zorca]

Виталий Р, да вы хотя бы один файл то откройте, автоматизатор :-)

[Виталий Р]

zorca, открыл уже штук 30 ))) пока что ничего подозрительного, кроме файла leave.php который весь состоит из зашифрованных (или просто с рандомными именами) переменных и таких же рандомноименных функций.
Знать бы еще что конкретное искать в этих файлах ))) Я конечно не совсем чайник, понимаю в пхп поверхностно. Что там как, но вот что конкретно и для чего - понять уже сложнее.

[zorca]

Виталий Р, рандомные имена функций это уже почти 100% вирусня.

Answer 1

[Stanislav Pugachev]

Виталий Р,

1)я бы попытался обновить ось если конечно это допустимо
2)отключаем ssh по паролю вообще
оставляем только по ключам
меняем дефолтный порт с 22 на какой-то другой
3)делаем ревизии имеющегося барахла ( конечно нас интересует те части системы которые хоть как-то выглядывают наружу) - нужно иметь список подозреваемых. то есть грубо говоря netstat'ом смотрим список открытых портов
маппим их в процессы
смотрим что это за процессы и выясняем насколько это ПО устаревшее и дырявое

дальше идем по списку тулзов/фремворков которые мы отревизили и пытаемся по базам уязвимостей найти чтото интересное для нашей версии продукта
если там действительно жопа и уязвимостей уже куча - то деваться некуда придется обновлять ПО

ответ конечно не исчерпывающий потому как оно все очень depends
но я так понимаю вы вообще в растерянности и не знаете с чего начать
так что первое правило - нужно узнать по-максимуму все о своей системе и нужно олицетворить зло (то есть узнать с каким конкретно ПО мы имеем дело на данном конкретном сервере)
дальше проще пойдет

если время позволяет - разобраться бы от какого пользователя все это барахло запущено
может быстро получиться порубать права кому-то и опять же получить максимально быстро какой-то результат

Comments

[Виталий Р]

1. с SSH конечно все плохо и я бы рад сделать как вы советуете только... Проблема в том, что есть у нас тут целый отдел, который работает со всеми этими серверами. Я в отделе не особо авторитетный, ибо слабенько шарю, хоть и стремлюсь изучать всё на свете. Первое что я предложил, это сменить нафиг пароли и порт ssh. Мне сказали, "да это не в этом дело, там просто всё старое и дырявое"

2. Вирус запускается от www-data

по ривизии.... Всё старое и обновляться:

"ни в коем случае нельзя, ибо всё перестанет работать и вообще, итак всё работает, ни че не трогай, удаляй из темпа руками этот вирус" (ну я скрипт напишу, на первое время, пока разбираюсь)

На самом деле времени куча ибо никто разбираться с этим не хочет, а мне интересно и есть свободное время. Думаю получить очень полезный опыт. Так как "свои" не очень то любят помогать, ведь постоянно заняты - пишу сюда. :)

[Stanislav Pugachev]

Виталий Р,

ну учитывая что никто в результате кроме вас не заинтересован - то удачи Ж)
шучу

на самом деле если время позволяет и сайты простенькие - мигрировать их на другую машину где все ПО обновлено в принципе не сильно сложно
грубо говоря если там 4 сайта-визитки лежит - то перенести их на новую машину дело плевое
может стоит в эту сторону посмотреть

[Виталий Р]

Stanislav Pugachev, так если вирус сидит в php файлах сайта (может и сайтов) то вирус с ними же и перенесется. Разве нет ?

[Stanislav Pugachev]

Виталий Р,
как вирус может сидеть в пхп файлах? (кроме варианта когда программист специально туда уязвимость намеренно добавил)

никто ваши пхп-файлы патчить не будет потому что нахрен вы кому сдались со своими 4ю микросайтами
вас же явно ломают автоматически а не вручную. вы представляете себе какой это геморрой делать reverse-engineering ваших приложений, а потом писать что-то кастомно заточенное для конкретного сервера. эти временные затраты вы не окупите никогда. Это ведь тоже софт, его писать нужно, тестировать нужно, обкатывать.

Грубо говоря есть миллион серверов. на них миллион разных сайтов.
но все они ранаются на апаче. Поэтмоу использовать будут уязвимость апача а не вашего пхп приложения - потому что этим решением можно поломать миллион хостов а не ваш 1. Тогда это имеет экономическую целесообразность.
поэтому ломают "ковровым бомбометанием" сканируют сеть и проверяют на наличие известных уязвимостей у известного ПО всю сеть сразу. КТо просканился успешно - тому вставляют стандартный майнер.

Я могу быть не прав что ваше приложение (php) никак в процессе не участвует
на уровне логики приложения могут какие-то косяки в безопасности типа позволено аплоадить какие-то стремные файлы на сервер без проверки mime-type или чо-нить типа того.
Но опять же даже если это так - то это результат испольования стандартного известного типа уязвимостей а не результат пристального и скурпулезного поиска уязвимости в вашем сайте

если сайты деплоились гитом можете пойти в папку с сорцами и посмотреть git status
я уверен на 99% что там будет все чисто

[Stanislav Pugachev]

первый вопрос мой конечно не совсем корректен
конечно дописать код можно в php файлы
я имел в виду что по-моему вряд ли это входит в стандартный пакет поломки подобных приложений

[Виталий Р]

Stanislav Pugachev, а как вы предполагаете он может запускаться ?

в темпы закачиваются 2 файла, исполнительный и конфиг. Запускаются и собственно вирус начинает майнить.
Я хочу узнать именно откуда (ипишник) и кем (через что). Откуда они появляются. Кто инициирует ? процесс это ли какой-то или пхп скрипт. Я предположил, что на одном из моих сайтов в тело какого-нибудь стандартного скрипта вшит код закачки данного майнера и его запуск. или хз как еще ??

просто со схемой вирус внутри пхп - я уже сталкивался. Так же тут обратил внимание у себя натакой файлик

leave.php Внутри все переменные - наборы символов. и вообще он очень странный. У меня 4 сайта. этот файлик лежал только в publik_html в одном. Щас его переименовал и перенес. Посмотрю, подожду.

Так же в этом же самом каталоге лежат .htacces и .htacces.bak - скрытые оО я просто не шарю, что это такое, в смысле зачем они.

Answer 2

[MyMac]

Если инициируется снаружи (запрос php-скрипта) то можно попробовать найти по логам Apache в момент создания файлов в /tmp . То есть просто смотрим время создания, и по access-log - какие скрипты в этот момент запрашивались и откуда. Возможно, удастся выловить и обойтись малой кровью, просто подчистив исходник.

Но дырку всё равно нужно искать. Пропатчили один раз - пропатчат и второй (если пролезло через php - то 99% что проблема в какой-нибудь древней уязвимости одного из стандартных фреймворков, Stanislav Pugachev прав, никто ничего специально писать не стал бы).

Comments

[Виталий Р]

Пока что предполагаю, что старая дырявая джумла. Буду её обновлять, дальше уже посмотрим. Спасибо за совет.