今天登錄后臺無意中發現Wordpress安全插件(Wordfence)報警!發現某惡意檔案,
由以上可見,它位于Wordpress媒體上傳目錄,是一個壓縮包并且內部含有c語言代碼,
詳細資訊如圖
經詳細資訊發現,這個檔案的創建日期為2020年11月26日星期四上午01:38:40,大小約70kb,
這就納悶了,一個壓縮包,位于媒體檔案上傳目錄,內部含有c語言代碼,僅70kb;十分可疑!
故而登錄服務器把它下載到本地仔細研究;解壓一看,茫然了,,,
檔案名我沒有截出來,它的檔案名為“ebpf_mapfd_doubleput_exploit”,那么這無疑是一個用于本地提權的惡意程式(百度搜索檔案名一大堆提權資料)
那么就要搞明白這檔案怎么來的
發現是由www-data創建的,這表明攻擊者是通過apache程式上傳的該檔案,
Wordpress安全插件(Wordfence)顯示這個檔案創建于“2020年11月26日上午01:38:40”,
linux顯示這個檔案,最后一次訪問時間為“ 2020-12-29 23:39:46.605865354 +0800”
最后一次內容修改時間為“2020-11-26 09:38:40.000000000 +0800”
最后一次屬性修改時間為“2020-12-25 00:00:48.593857119 +0800”
而今天是2020/12/30,linux并不顯示創建時間,最后一次查看是昨天,
整理出一個時間線,創建于2020/11/26/01:38:40
最后一次解壓或者移動于2020-11-26 09:38:40
最后一次修改權限于2020-12-25 00:00:48
最后一次訪問于2020-12-29 23:39:46
但忽略了一個問題,除了攻擊者,Wordfence訪問是不是也記錄其中?所以,最后一次訪問時間無效,
于是查看apache日志,發現該檔案被創建時,apache并沒有生成日志
難道不是通過Wordpress上傳的嗎?明明上傳在“wp-content/uploads/”這是wordpress媒體上傳目錄啊,,,
遺憾的是,wordpress并沒有日志記錄是誰上傳的以及上傳者ip,
ps:說起這個惡意提權壓縮包就很有趣,它被放在/wp-content/uploads/;包內有個compile.sh,解壓后內容如下:
#!/bin/sh gcc -o hello hello.c -Wall -std=gnu99 `pkg-config fuse --cflags --libs` gcc -o doubleput doubleput.c -Wall gcc -o suidhelper suidhelper.c -Wall
哦~~它需要編譯,但是壓縮包里已經包含編譯好的可執行檔案了;是兩手準備?還是把編譯后的可執行檔案又添加進了壓縮包為掩人耳目?幸好wordfence識別出來了,
還有,這個目錄是沒有可執行權限的(不過好像是僅針對php)
由于apache日志內找不到上傳該檔案的日志記錄,wordpress也沒有總之線索斷了!
但是,可執行檔案已經上傳了,沒有shell攻擊者怎么用??
萬能的阿里云~!(看日志是夠辛苦的)
從阿里云的報告來看,最后一次反彈shell時間:2020/12/24/22:47:46秒
貌似與最后一次屬性修改時間:“2020-12-25 00:00:48”對上了
還發現攻擊者通過python虛擬了一個互動式shell;然后沒有更多資訊了,
依據經驗,通過apache反彈shell一般使用惡意php程式;可wordfence并沒有掃描出惡意php程式,
不甘心使用webshell掃描工具“河馬”掃描一波,
仍未發現惡意php!
粗略檢查了一下linux的登錄日志,并沒有發現www-data登錄(也許反彈shell登錄并不會被日志記錄?這方面不太懂)
由于已經發現了用于提權的惡意程式,需要分析(究竟能否提權成功),檢查服務器其他位置是否存在其他本地提權程式
使用“find / -user www-data -perm -u=r -ls > demo.txt”列出所有、所有者或所有組為www-data的檔案并將輸出重定向到demo.txt;使用“cat demo.txt | grep *.tar*”等,查找可疑檔案后綴
并查找了linux中任何人都可寫的目錄,如tmp
root@iZbp18bu6m70t9of9avduiZ:~# find / -name tmp /tmp /var/tmp /var/www/html/wp-content/plugins/wordfence/tmp /var/www/html/phpMyAdmin/tmp
未發現其他本地提權程式,,,
理清思路:服務器被上傳本地提權程式,被反彈shell但未找到惡意php程式(webshell河馬的檢測能力還是可以的),所以懷疑是apache或者wordpress的漏洞導致被反彈shell
為保證安全,升級wordpress版本、更新所有軟體、更新系統及內核版本并變更用戶密碼
詳見我的另外幾篇文章:更新系統及內核版本https://www.cnblogs.com/Deng-Xian-Sheng/p/14030356.html
Ubuntu更新軟體參考https://www.jianshu.com/p/a79ee7f59036
Wordpress自動升級穩定性不佳,建議手動升級;參考http://www.wuwenhui.cn/3090.html
總結經驗:
1、Wordpress需要安裝日志插件來記錄日志!!
2、研究透各大發行版的日志格式,Ubuntu日志與centos有很大不同;由于不經常看,打開/var/log/嚇壞了,以為日志被洗掉了……提權成功了;打開虛擬機試驗后發現是其日志格式與centos不同,,,
道高一尺,魔高一杖;找不到php反彈shell的檔案可真難受,愿大佬提建議~~
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/242716.html
標籤:其他