Script Malicioso - usado pelos Hackers

[Alexandre Duran]

Caros, tivemos um incidente com um de nossos usuários que teve o site invadido - pelo mesmo grupo que invadiu a locaweb e outros provedores usando a falha de Kernel da "família" RHEL.

Identificamos que usaram uma falha em modulos do WordPress, fazendo um upload do script que estou anexando. É um script unico em PHP bem completo, que mostra diretórios e comandos além de verificar possíveis brechas de segurança - praticamente um "gerenciador de invasão".

Usamos tb o comando abaixo dentro do /home para identificar se outros clientes/dominios tb tinham disso afetados. O comando abaixo procura o termo "md5-cryped pass" (que faz parte do código do script PHP) em todos os arquivos do /home e encontramos outros clientes afetados, que tinham o mesmo script malicioso em seus diretórios.

find . -type f -exec grep "md5-cryped pass" {} \; -print

Fica a dica e o aviso, este script é do mal. :P

english.zip

[MCelow]

Muito do mal, já mexi nele pra ver como que é! :)

[Jesmarcelo]

se tiverem o clamav instalado é bom rodar periodicamente também, ele pega vários scripts maliciosos, segue abaixo um script em perl salve em um arquivo com a extenção .pl e roda, vc vai receber um email por conta informando o que de malicioso existe "muda o email no script".

#!/usr/bin/perl

#


$path="/home";

$email="email\@seudominio.com.br";


opendir(DIR,$path) || die "Não foi possível abrir o diretório: $path\n";

@users = grep { /^[^\.]/ && -d "$path/$_" } readdir(DIR);

closedir(DIR);


$qtd = @users;


@users = sort(@users);


for($i=0;$i<$qtd;$i++) {

    #$cmd = "/usr/bin/clamscan -r --remove /home/$users[$i] | mail -s \"Relatorio de Verificação de Virus da Conta $users[$i]\" $email";

    $cmd = "/usr/local/bin/clamscan -r --infected /home/$users[$i] | mail -s \"Relatorio de Verificação de Virus da Conta $users[$i]\" $email";

    system($cmd);

}

[Patty]

Valeu a dica, pessoal. ;)

Meu Norton nem deixou abrir o arquivo... hehehe

Já peguei outros deste tipo em diversas contas de clientes que faço serviços pra eles. São usados pro mal, mas poderiam muito bem ser usados para o bem, pois são uma ferramenta de gerenciamento bem completa.

Sugestão: não poste o arquivo pra todo mundo baixar. Sei que a intenção é boa, mas vai lá saber na mão de quem vai cair??

[Patty]

find . -type f -exec grep "md5-cryped pass" {} \; -print

Desculpe a ignorância, mas como usar este comando no Putty?

Entrei, digitei cd /home... daí digitei o comando... é isso mesmo?

[Jesmarcelo]

Desculpe a ignorância, mas como usar este comando no Putty?

Entrei, digitei cd /home... daí digitei o comando... é isso mesmo?

copia a comando, no ssh entra no diretorio /home, cola essa linha e da enter... daí é só aguardar aguardar e aguardar, se tiver muitos arquivos deixa rodando dorme e ve depois kkkk

[chuvadenovembro]

copia a comando, no ssh entra no diretorio /home, cola essa linha e da enter... daí é só aguardar aguardar e aguardar, se tiver muitos arquivos deixa rodando dorme e ve depois kkkk

Mas como vê o resultado? porque no winscp ele aborta o retorno em 15 segundos.

Precisa ver algum log depois em alguma pasta do servidor?

Porque notei que ele fica executando (mesmo depois de fechar o winscp)

[Alexandre Duran]

Desculpe a ignorância, mas como usar este comando no Putty?

Entrei, digitei cd /home... daí digitei o comando... é isso mesmo?

É isso mesmo - tem como modifica-lo para pesquisar apenas em arquivos .php, mas não me lembro como faze-lo. Alguem sabe ?

Este comando serve para pesquisar o conteúdo de qualquer termo em qualquer arquivo dentro da pasta em que foi executado.

[Jesmarcelo]

Mas como vê o resultado? porque no winscp ele aborta o retorno em 15 segundos.

Precisa ver algum log depois em alguma pasta do servidor?

Porque notei que ele fica executando (mesmo depois de fechar o winscp)

Recomedação: usa o putty

para gerar log digite assim:

find . -type f -exec grep "md5-cryped pass" {} \; -print > /home/virus.log

[Patty]

Ah, legal. Então eu tava fazendo certo... é que fiquei na dúvida, pois depois que colava o comando não acontecia mais nada... rs

Valeu, pessoal! :)