经典案例
  • 妙视界
  • 广州市坊森室内装饰有限公司
  • ArtsRouge
  • 香港·维西·创意设计机构
  • 阳春冠军联盟
  • Management
  • 爱艺术咖啡会所

惨遭黑客入侵,记一次服务器被攻击的应急行动!(10)

发布于:2017-12-06 19:02来源:网络整理 作者:jimmoo 点击:

由于安装了很多插件,所以我编写了一个小脚本,来检查 wordpress 插件目录对 wpvulndb.com 的访问,并显示所有的漏洞。事实证明,有很多严重的漏洞,在没有足够的日志信息的情况下,很难追踪最初的向量。

[+] w3-total-cache

     * [UNKNOWN] W3 Total Cache 0.9.2.4 - Username & Hash Extract

        Fixed in: 0.9.2.5

        + http://seclists.org/fulldisclosure/2012/Dec/242

        + https://github.com/FireFart/W3TotalCacheExploit

     * [RCE] W3 Total Cache - Remote Code Execution

        Fixed in: 0.9.2.9

        + http://www.acunetix.com/blog/web-security-zone/wp-plugins-remote-code-execution/

        + http://wordpress.org/support/topic/pwn3d

        + http://blog.sucuri.net/2013/04/update-wp-super-cache-and-w3tc-immediately-remote-code-execution-vulnerability-disclosed.html

     * [CSRF] W3 Total Cache 0.9.4 - Edge Mode Enabling CSRF

        Fixed in: 0.9.4.1

        + http://seclists.org/fulldisclosure/2014/Sep/29

     * [CSRF] W3 Total Cache <= 0.9.4 - Cross-Site Request Forgery (CSRF)

        Fixed in: 0.9.4.1

注意,脚本没有检查主题或 wordpress 核心漏洞,这也可能包含严重的漏洞。

总结

根据这次服务器被攻击,我总结了如下几条:

  • 该系统已经被破坏了几个星期。在 Apache 日志的 Shell 中,最早的可见访问是在 7 月初。

  • 我识别了各种受损的 PHP 文件和一个 Windows 恶意软件。

  • 至少有三种类型的 Shell 被发现是攻击的指标。

  • Windows 恶意软件可能还没有传播。

  • 服务器没有显示出明显的更深的感染迹象,从用户帐户来看,没有找到 rootkit。

  • 攻击可能被限制在 Web Server 用户上,对于其他用户,我还没有发现任何受攻击的迹象。

  • 最初的攻击可能是过时的 wordpress 系统中最不安全的漏洞之一。

  • 没有迹象表明其他用户通过 Shell 访问了数据库或数据库凭据。但是,我不能排除有可能访问数据库的可能性。

  • 一些可能是来自亚洲 IPs 的恶意活动(Shell 访问)。

  • 除了清理系统中的恶意文件,我也应用一些优化手段,比如更改密码和证书,安装一个主机 id,执行定期扫描,主动监测服务器……

    不过,你永远不会得到 100% 的安全性,特别是当你的服务器已经被破坏时,你所能做的最好的事情就是检查每一个来自非官方的备份或脚本。

  • 作者:luochicun

    来源:嘶吼专业版微信公众号

    ------分隔线----------------------------
    ------分隔线----------------------------