Jump to content

Cuidado! Dhanush Shell


Fernando Rafs

Recommended Posts

Olá Pessoal,

 

Hoje por volta dás 05:00AM fui verificar o relatório diário do sistema AntiMalware, instalado nos servidores cPanel.

 

Então verifiquei o seguinte alerta: (Dados pessoais foram alterados por segurança)

 

---

Pyxsoft Anti Malware Daily Scan Report
======================================
 
Scanning...
server.dominio.com.br
 
2 new files infected:
 
/home/USUÁRIO/public_html/.gt1.php: {HEX}.php.cmdshell.unclassed.347.FOUND
/home/USUÁRIO/public_html/.gt1.php: {HEX}.php.cmdshell.unclassed.347.FOUND

----

 

Acessei a conta do cliente e notei não tinha só os arquivos maliciosos acima, como também outros com os seguintes nomes 'ini.php', 'php.ini' e gt2.php, estes não identificados pelo Anti Malware.

 

Verifiquei também que o shell conseguiu listas todas as contas de usuários que estavam utilizando Wordpress, em uma pasta dentro do public_html do cliente.

 

Após algumas verificações, consegui localizar o IP e como o Upload foi realizado:

 

---

/.gt1.php?y=/home/USUÁRIO/public_html/blog/&x=upload HTTP/1.0

---

 

O sistema antimalware até que barrou algumas vezes o Upload, mas não consegui identificar como ele conseguiu após algumas tentativas, para isto já notifiquei o Pablo da PyxSoft sobre o problema.

 

Após conseguir efetuar o upload através do Wordpress do cliente, ele teve acesse a todos os seus arquivos, e pela primeira vez, um invasor não só invadiu e inseriu arquivos mas também removeu todos os arquivos do cliente, mais de 1GB de dados, deixando apenas os dele, o que foi recuperado com um simples backup.

 

Este é um pequeno resumo do que ocorreu, desculpem se tiver algum erro de português, estou na correria aqui.

 

O nome do Shell aparentemente é 'Dhanush Shell' e não consegui localizar nada a respeito (sobre proteção), apenas centenas de sites hackers disponibilizando o Shell, onde maiores detalhes sobre ele pode ser visto pelo link abaixo:

 

- http://pastebin.com/M5XSZyDq

 

Aproveito e pergunto se alguém possui alguma regra Modsecurity que possa barrar este Shell e outros também, e pode compartilhar conosco.

Link to comment
Share on other sites

Umas perguntas,

 

O Servidor foi invadido pelo upload do WordPress?

Essa invasão afetou de algum modo outros clientes?

Tem algum risco dessa invasão na conta desde cliente ele invadir outras contas do mesmo servidor?

 

Se o arquivo php.ini ainda estiver por ai no servidor, diga qual o conteúdo dele p/ nós.

 

Por isso é sempre bom, checar e rechecar os logs.

 

Efetuei uma verificação minuciosa, e constatei que o Antimalware bloqueou perfeitamente o Script Shell.

 

Mas então, como ele apareceu na conta do cliente?

 

Simples, o cliente, acredite se quiser, guardava em sua conta um arquivo .TXT contendo todos os seus dados pessoais de acesso, aos mais variados sites possíveis, incluindo cPanel, área do cliente, emails Gmail, Hotmail, sites de cartões, enfim, tudo o cliente guardava neste arquivo TXT.

 

Como o invasor não conseguiu efetuar o upload, já que o antimalware bloqueou, ele vasculhou os endereços da conta até encontrar, exemplo 'meusite.com.br/meusarquivos/' onde esta pasta não tinha nem mesmo proteção por senha ou um index em branco, ao acessar aparecia uma listagem com todos os arquivos, e ele encontrou o bendito do arquivo, contendo os dados pessoais do cliente.

 

Em posse deste arquivo ele tentou a sorte acessando endereço por endereço contido neste arquivo, até que ele encontrou adinhem tanto o endereço cPanel + Usuário + Senha como também o endereço da área do cliente (WHMCS) contendo email + Senha.

 

Foi uma falha do próprio cliente, onde o invasor simplesmente teve acesso ao cPanel do mesmo, e efetuou o upload do Malware diretamente pelo gerenciador de arquivos, por isto o Antimalware identificou o arquivo apenas depois do estrago. Apenas relatei ao desenvolvedor do antimalware, que o mesmo tinha que ter bloqueado também o upload pelo gerenciador de arquivos do cPanel, já que se trata também de um upload HTTP.

 

Agora o cliente vai ter uma tremenda dor de cabeça, já que neste arquivo com senhas tinha site de cartões e emails pessoais também.

 

E apenas a título de informação o invasor é da 'Indonésia' e tenta os acessos utilizando o seguinte IP: 103.10.66.3 descobri isto, porque antes ele estava utilizando um IP de Proxy do exterior (EUA), após isto se sentiu a vontade, já que não estava invadindo nada, e passou a utilizar o seu próprio endereço de IP.

 

Obs 1: Yves, sobre o script Shell, sim ele lista arquivos de configurações de outras instalações Wordpress/Clientes, incluindo Joomla, WHMCS, entre outros, a sorte foi que identifiquei rápido, antes que ele pudesse realizar um estrago ainda maior, ele conseguiu o arquivo de configuração de apenas um outro cliente, o que foi resolvido alterando, nome do banco de dados, usuário e todas as demais senhas.

 

Obs: Chuva, infelizmente não tenho mais os arquivos, já os removi.

Link to comment
Share on other sites

Essa invasão provavelmente ocorreu através de um brute force no admin do wordpress.  A nova versão do pyx possui  uma opção em que bloqueia o IP do usuário que tentar acessar o wp-login 7 vezes com senha errada. Essa opção está ativa na sua instalação?

Link to comment
Share on other sites

Essa invasão provavelmente ocorreu através de um brute force no admin do wordpress.  A nova versão do pyx possui  uma opção em que bloqueia o IP do usuário que tentar acessar o wp-login 7 vezes com senha errada. Essa opção está ativa na sua instalação?

 

Não foi brute force, e sim o bloqueio por brute force ao Wordpress está ativa.

 

Aproveitando, Leo caso tenha instalado o plugin também, você notou que após o plugin possuir esta opção de bloqueio por Brute Force, a quantidade de IPs do exterior que são bloqueados, por tentativa de brute force ao Wordpress, fiquei impressionado com isto.

 

É uma camada de segurança muito boa, inserida pelo desenvolvedor.

Link to comment
Share on other sites

Tente desativar o uso do PHP.INI personalizado em cada diretório evitando que ative funcções do PHP que tenha bloqueado.

 

Acho que essa questão até merece um tópico dedicado.

 

Pois é um recurso útil, mas um simples upload de um php.ini com uma linha com funções desativadas = none faz um estrago no servidor.

 

:(

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem CPanel e DirectAdmin SSD + SSL Grátis
Link to comment
Share on other sites

O problema sobre o php.ini é que realmente se faz necessário em alguns casos.

 

O que vocês fazem, não permitem que o cliente utlize um php.ini personalizado ou permitem?

 

Foi marcação minha ter removido o php.ini antes de analisá-lo, o que vi rapidamente é que ele estava desativando várias funções.

 

Além das proteções e regras modsecurity que já utilizo, adquiri ontem as regras 'Real Time = Paga' da Atomicorp, alguém utiliza? Se sim, quais as mais recomendadas?

Edited by Guto
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?