Давно не писал сюда, наверное с тех самых пор как накрылась моя работа в проекте trusearch.net по причине всеобщего пизкризиса и политического раздрая.
В пятницу коллега с работы подкинул заказик: у его знакомого перестал работать сайт-витрина интернет магазина. Платформа Ubuntu Server 16.04, CMS Битрикс.
Связываюсь с клиентом, получаю реквизиты доступа. По ssh отдалённого доступа нет, витрина лежит. Доступ только через консоль с сайта хостинга. Вваливаюсь и вижу что процессоры под 100%, причем ps и top не показывают чем именно. Запускаю htop и вижу, что CPU сжирается приложением /root/facaiadminа. Очень интересное имечко. kill -9 помогает только на пару минут, потом процесс снова в памяти. Netstat также не показывает ничего подозрительного.
Для начала ставлю cron на убивание facaiadmina каждую минуту - сразу стало легче. Получаю доступ через клиент ssh. В настройках sshd запрещаю логин от root, меняю пароль для root. Завожу в системе себя, заодно вижу что в /etc/passwd торчит пользователь 1111 с админскими правами, полагаю, что это следы подрядчиков.
Ищу откуда запускается зловред и вижу, что в стартовых скриптах приложение facaiadmina запускается из скрипта с именем DbSecuritySpt, который торчал в /etc/init.d и в подкаталогах /etc/rc.d Поиск по этому имени дал ответ, что в системе клиент ботнета Bill.Gates, а также есть информация о том, что этот гадёныш делает.
В итоге поисков по системе:
- подменены утилиты netstat, ss, ps, lsof;
- в /usr/bin висит каталог bsd-ports в котором находятся оригинальные системные утилиты, а также утилита getty, которая является частью зловреда;
- в /etc/init.d висел скрипт с именем selinux который запускал этот самый getty.
Скрипт selinux был обнаружен по ошибке в работе apt. При установке clamav была ругань на зависимости от пакета selinux, но в системе SElinux не бы установлен. Вот это и навело на мысль, что зловред запускается им.
Просмотр файла истории в каталоге root обнаружилось, что установка зловреда произведена от имени пользователя 1111, его тоже вычистил и перезапустил сервер. Загрузка прошла нормально, зловред деактивирован, сайт работает.
Не решённым остался вопрос о пути проникновения, либо через уязвимость в Битрикс, либо кто-то из подрядчиков.
Комментариев нет:
Отправить комментарий