一、确定问题
- 1、网站服务器CPU持续报警,先用top命令查看占用CPU的进程。
image.png
- 2、发现进程名字为annizod,再用lsof命令通过进程ID查看进程的详细信息
lsof -p 12549
图片1.jpg
发现进程路径在其中一个网站下,将此进程文件发送到远程主机分析,发现已经加密。
- 3、同时发现服务器向5.133.179.36发起了一个TCP连接,访问此地址,发现是一个代理地址,确定服务器被代理用来挖矿了……
image.png
- 4、进一步通过参考网页发现这不是个例,已经有针对这个木马文件的分析:
image.png
image.png
二、应急处理
- 1、同时查看文件夹下的其他文件,发现了一个it.php的文件和一个wordpress主题zwater.zip的压缩包。
图片2.jpg
2、根据时间推算,应该是先上传了主题包,然后再生成了恶意的挖矿木马文件。
3、当务之急,先恢复服务器业务和性能。Kill掉相关进程,将相关文件备份并发送到本地主机后,删除服务器上的文件,服务器暂时恢复。
kill -9 12549---杀死相关进程
sz /data/app/web/xxx/wp-content/uploads/2018/05/annizod---将木马文件发送至本地主机
三、分析问题
- 1、后边再次来袭
image.png
图片3.jpg
-
2、发现依然是上传了一个类似于zenwater.zip的主题压缩包。
ls -alht---查看上传文件夹下的所有文件
图片4.jpg 3、既然删除后再次出现,可能是有定时任务,
crontab -l查看定时任务,但root用户和www用户的定时任务都未发现明显异常。4、结合网站后台的访问记录发现,当43.249.205.71这个IP地址访问后台并进行了主题或者插件上传的时候,和木马文件上传和生成的时间点很吻合。
图片5.jpg
图片6.jpg
image.png
5、由此判断入侵者是通过后台进行操作,说明入侵者已经有了后台权限。
6、查看WordPress用户,果然发现有多个未知账户存在,考虑可能是管理员账户被暴力破解后添加的新用户。
图片7.jpg
攻击思路分析:
- 在后台日志中发现大量的针对后台登录地址的爆破记录
- 攻击者爆破后台管理员登录密码,新建多个管理员用户
- 上传修改过的主题文件,主题中包含挖矿木马
- 木马自动生成挖矿连接程序并执行
- 连接代理地址进行挖矿,占用CPU,主机报警
- 木马被清除后继续攻击者继续登录后台上传新的木马文件
四、解决问题
- 1、清除这些未知用户,同时修改管理员密码。
- 2、同时针对服务器安装了云平台提供的主机入侵检测Agent进行实时监测。
- 3、经排查,多个网站后台管理员采用了相同弱口令,同时都存在多个未知用户,现已清除未知用户,并 且修改了管理员密码。
- 4、同服务器多个网站受此影响,修改密码后观察暂时未再出现不明原因的上传文件和服务器报警情况。
五、安全建议
- 1、不定期修改管理员密码,且密码须符合强密码策略(至少包括大写字母、小写字母、特殊符号和数字的任意三种,且密码长度至少八位。)
- 2、升级wordpress版本,目前采用的版本为4.0.8,版本老旧,漏洞百出,建议升级到最新的.WordPress4.9.6。
- 3、不安全装来历不明的插件或者主题。
- 4、PHP里面有很多函数可以执行系统命令,如果被攻击者利用将造成重大影响,建议常见的高危函数非特殊情况下都应该禁用。在/etc/php.ini配置文件中,指定禁用的高危函数。修改配置后需要重启服务,使其配置生效。
disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,phpinfo
