針對(duì)此PHP漏洞的嘗試，ColdFusion，內(nèi)容管理系統(tǒng)存在此漏洞是很常見(jiàn)的。在某些情況下，特定的攻擊可能會(huì)成功，對(duì)高價(jià)值的服務(wù)器，會(huì)導(dǎo)致非常顯著的數(shù)據(jù)泄漏。在其他情況下，攻擊者將會(huì)大規(guī)模的操控被感染的主機(jī)。

最近，我注意到多個(gè)IP地址試圖利用一個(gè)PHP漏洞攻擊，所以我利用蜜罐記錄了結(jié)果，此次活動(dòng)讓人想起早期僵尸網(wǎng)絡(luò)瘋狂的日子，用IRC命令控制，以及利用被入侵的主機(jī)作為掃描工具。

這是很有趣的，因?yàn)樗砻魉且粋€(gè)成功針對(duì)Linux服務(wù)器的PHP漏洞，它能做什么呢，我將演示如何做一些基本的內(nèi)存取證，可以使用Volatilit這種類(lèi)型的事件進(jìn)行總結(jié)。

以下是攻擊者嘗試的攻擊：

這是針對(duì)一個(gè)老漏洞(CVE-2012-1823)的，它允許遠(yuǎn)程攻擊者通過(guò)命令行選項(xiàng)HTTP查詢(xún)字符串內(nèi)注入任意代碼。

攻擊代碼解碼后為： 

如果利用成功，將在HTTP POST的剩余部分顯示。

以下是在被入侵的服務(wù)器上執(zhí)行的操作：

·改變工作目錄到/var/tmp中

·從該目錄刪除文件名為“a.pdf”的文件。

·從攻擊者那里下載“a.pdf”文件并保存在/var/tmp目錄。pdf文件實(shí)際上是一個(gè)per腳本。

·執(zhí)行per腳本，也就是“a.pdf”文件。

·最后刪除“a.pdf”文件。

此攻擊者為了確保能成功下載遠(yuǎn)程腳本，他重復(fù)使用“curl”、“fetch”、“lwp-get”指令。

捕獲的數(shù)據(jù)包顯示了注入腳本的整體活動(dòng)，在執(zhí)行腳本后，休眠了一段時(shí)間，猜測(cè)可能是避開(kāi)管理員的耳目。然后連接到vafel.pexit.cu的IRC C2，端口45129。

一段時(shí)間后，攻擊者指示從m1.pexit.cu.cc獲取另一個(gè)腳本“ins_h.sh”。

在“ins_h.sh”腳本的內(nèi)容顯示除其他事項(xiàng)外，攻擊者在Linux服務(wù)器上創(chuàng)建隱藏目錄，獲取另一個(gè)工具(HC)的源代碼，并編譯它，然后修改保存到定時(shí)任務(wù)中。

在這之后不久，大量的各種文件將被下載到被感染的主機(jī)，這其中包括挖掘軟件，開(kāi)發(fā)庫(kù)和編譯工具，還下載了大量的linux本地權(quán)限提升利用程序。之后，攻擊者將使用他想要的方式，開(kāi)始比特幣和質(zhì)數(shù)幣的挖掘，特別值得注意的它使用Stratum Mining協(xié)議連接到服務(wù)器37.251.139.161上：

大多數(shù)服務(wù)器都被注射了這些不同的腳本然后用于各種任務(wù),包括DDoS、漏洞掃描和利用。互聯(lián)網(wǎng)風(fēng)暴中心最近發(fā)布了條新聞,“邁納德的情況”,探討了被破壞的服務(wù)器被用于開(kāi)采虛擬貨幣。

現(xiàn)在，讓我們做一些內(nèi)存取證這一特定被攻陷主機(jī)的內(nèi)存圖像。我們將使用2.3.1版本分析Linux映像,為了做到這一點(diǎn)，你必須提供適當(dāng)?shù)腖inux配置文件,創(chuàng)建一個(gè)配置文件是非常容易的,但它需要做適當(dāng)?shù)姆植己蛢?nèi)核。我推薦Ken Pryor的Github網(wǎng)站,Ken Pryor在那里建立了一個(gè)Linux配置文件存儲(chǔ)庫(kù)。

根據(jù)分析，該系統(tǒng)是一個(gè)Ubuntu 10.04的服務(wù)器，內(nèi)核版本2.6.32-33，我們先來(lái)看看系統(tǒng)上的活動(dòng)進(jìn)程，通過(guò)“linux_pslist”插件。

注意PID1517(httpds)和PID27157(rsyslogd)的時(shí)間戳，遠(yuǎn)遠(yuǎn)晚于它上面列出的這些進(jìn)程。由于早期過(guò)程及其相對(duì)時(shí)間戳類(lèi)似于Linux的啟動(dòng)程序，另請(qǐng)注意，這些進(jìn)程顯示一個(gè)用戶(hù)ID和組ID1002，其中的Ubuntu分配給一個(gè)用戶(hù)帳戶(hù)。

波動(dòng)插件“linux_psaux”的行為類(lèi)似于Linux命令ps,所以它能夠顯示在流程調(diào)用使用的命令行參數(shù)：

所以進(jìn)程名命名為“httpds”，PID為1517，目錄/usr/bin/httpd，另外一個(gè)進(jìn)程“rsyslogd”，PID為27157，并調(diào)用命令行參數(shù)“-b -c”。如果我們獲得一個(gè)破壞服務(wù)器的磁盤(pán)映像，我們會(huì)注意檢查/usr/bin的“httpd”。通過(guò)研究“rsyslogd”,我們得知“- b”不是一個(gè)有效的選項(xiàng),所以這個(gè)進(jìn)程仍然是可疑的。當(dāng)通過(guò)pslist命令列出的進(jìn)程列表，找到運(yùn)行的進(jìn)程，“linux_pidhashtable”可以幫我們找到隱藏的進(jìn)程。

在這種情況下，它是一個(gè)很好的做法，檢查服務(wù)器的網(wǎng)絡(luò)信息，一些網(wǎng)絡(luò)插件，這將有助于確定遠(yuǎn)程連接和啟動(dòng)這些進(jìn)程。例如“linux_netstat”插件的行為就像Linux的“netstat”命令，并列出活動(dòng)的網(wǎng)絡(luò)連接，以及監(jiān)聽(tīng)套接字。在這種情況下，我們看到可疑的進(jìn)程，PID1517和PID27157與建立的網(wǎng)絡(luò)連接的遠(yuǎn)程IP地址相關(guān)聯(lián)的進(jìn)程。

執(zhí)行“linux_route_cache”插件，可以顯示路由表的緩存。這可能表明，可以不通過(guò)“linux_netstat”插件看到任何舊的連接。

 現(xiàn)在，我們已經(jīng)建立的PID1517和27157的可疑進(jìn)程，讓我們所有的相關(guān)的每一個(gè)打開(kāi)的文件和路徑的列表。類(lèi)似于在linux系統(tǒng)使用“lsof”的，我們將在這里使用插件“linux_lsof”。

注意，這兩個(gè)進(jìn)程，PID1517和27157有兩個(gè)共同打開(kāi)的文件。一個(gè)是[7916]，另一個(gè)是在隱藏目錄“/tmp/.ICE-unix/-log/”中的httpd.pid文件。

另一個(gè)插件是“linux_proc_maps”，這個(gè)插件將顯示進(jìn)程內(nèi)存的細(xì)節(jié)，包括共享庫(kù)。細(xì)節(jié)包括開(kāi)始和結(jié)束的位置，每個(gè)部分的節(jié)點(diǎn)和標(biāo)記。這事從內(nèi)存中調(diào)查處的很有價(jià)值的信息。例如，在PID1517，我們得到以下內(nèi)容：

我們看到前面所提到的相同的隱藏目錄，但現(xiàn)在指的是文件名“httpds”。該文件被看作是405961，在“linux_proc_maps”插件上有一個(gè)輸出開(kāi)關(guān)，允許以段列出。然而，為了恢復(fù)完整，完好的文件，我們需要從頁(yè)面緩存，它保存在內(nèi)存中的所有有關(guān)文件的頁(yè)面。我們可以通過(guò)“linux_find_file”插件做到這一點(diǎn)，這個(gè)插件會(huì)找到地址，然后讓你從內(nèi)存轉(zhuǎn)儲(chǔ)緩存的文件內(nèi)容，所以“httpds”文件在節(jié)點(diǎn)405961：

python vol.py -f /home/abc/pexit.vmem --profile=LinuxUbuntu1004_pae32-33x86 linux_find_file -F "/tmp/.ICE-unix/-log/httpds"

然后,我們使用“linux_find_file”插件使用“- o”選項(xiàng),通過(guò)索引節(jié)點(diǎn)的地址,以提取文件。提取后,我們可以運(yùn)行“strings”,查看內(nèi)容:

這些例子只是協(xié)助你如何分析被破壞主機(jī)。我希望這篇文章成功的揭示了PHP漏洞和由此產(chǎn)生的腳本注入的例子的一些情況，除了確保面向Internet的服務(wù)器使用正確的修補(bǔ)和硬化，還要知道如何快速跟蹤這樣的攻擊。在我的蜜罐，我每天會(huì)看到數(shù)十個(gè)，包括linux ELF，perlbots和老式炮彈攻擊。這些注入perl和shell腳本是非常讓人討厭的，而且還會(huì)給我們帶來(lái)最嚴(yán)重的破壞。

原文地址：http://sempersecurus.blogspot.jp/2013/12/a-forensic-overview-of-linux-perlbot.html