Как понять откуда появляется майнер?

Question

Виталий Р @ultrix

Линукс, Виндовс, инженер.

Как понять откуда появляется майнер?

Всем доброе утро.

Есть старенький сайт. Судя по всему дырявенький. Ситуация стандартная, как всегда кто-то когда-то поднял сервачек. Хозяина уже сто лет как нет. Все от сервачка открещиваются.

На нём крутиться debian + apache2.2 + php5.4 + mysql.

Хостятся 4 сайта.

Периодически появляется через php запущенный процесс - крипто-майнер. Майнит на сайт xmr.crypto-pool.fr.

В папке /tmp появляется конфиг и исполнительный файл. Иногда сразу по два процесса.

Удалаю файлик, кил процесс - хватает на 1-2 дня. Появляется снова.

Как я понял, логи после запуска процесса затираются, потому что многие логи становятся "нулевыми".

Как понять откуда он появляется ? С чего стоит начать ?

Вопрос задан более трёх лет назад
264 просмотра

21 комментарий

Подписаться 1 Простой 21 комментарий

zorca @zorca

Поискать по файлам ключевые слова с доменом и base64.

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, поискал по домену - их нет. Кроме двух ранее обнаруженных - файла конфига и исполняющего файла. искал по crypto-pool.

base64 не искал. Щас запускаю поиск.

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, по base64 нашло дофига чего. Прям вообще дофигища. В папке home у всех пользователей во всяких бэкапах, во всяких ява и пхп скриптах. В файлах конфигов. В папке хостинг в каждом сайте. Короче практически везде где только можно )))

Как отсортировать именно то что мне надо ?

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, Тааак... вы наверно имели ввиду поискать по шифру, который в файле конфига вируса, перед доменным именем :):)

Туплю. Щас попробую поискать по нему.

Написано более трёх лет назад
zorca @zorca

Виталий Р, проблема в том, что вирус на автомате дописывает себя вообще в каждый index.php обычно, так что ситуации вашей не позавидуешь. Если сайты на движках, нужно перезаливать ядро движков, если нет, то чистить каждый файл ручками.

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, 3 сайта самописные, 1 на движке. вот щас еще один на движке добавляю.

Я бы разобрался откуда он лезен. Откуда файлики берет эти в темп, откуда себя дописывает. Узнав эту инфу, попытался бы его позапрещать

Написано более трёх лет назад
zorca @zorca

Виталий Р, он лезет из каждого php, куда дописано тело вируса. А внешний робот их просто запускает по расписанию.

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, как найти где дописано тело вируса ?

Написано более трёх лет назад
zorca @zorca

Виталий Р, поиск по ключу base64. Вам нужно три раза написать? Тогда контрольный. Поиск по ключу base64.

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, не находит ничего.

Написано более трёх лет назад
zorca @zorca

Виталий Р, только что чуть выше писали, что нашлось дофига всего в каждой папке. Любой фрагмент из файла php с участием base64 приведите.

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, читайте дальше :) Я же написал, что тупанул. я искал "base64" а только после того как написал сюда понял, что надо сам шифр вставлять из конфига вируса. :)

Кстати, этот шифр, каждый раз разный.

Написано более трёх лет назад
zorca @zorca

Виталий Р, ну я так и думал, что придется еще раз повторить: ищем все php файлы, которые используют base64, анализируем каждый, если вирус - удаляем тело вируса. Не хотите делать то что вам говорят, так больше не будет никто на вопросы Ваши отвечать.

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, так...

Вы имеете ввиду, что я сделал все правильно ? :) Искать [ grep -pl "base64" / ] А дальше в каждом из найденных файлов искать тело вируса ? :):):)

Написано более трёх лет назад
zorca @zorca

Виталий Р, бинго! )))

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, ох :) какая-то жесть намечается. Ладно, отступать я не привык :)

grep -pl "base64" /*.php для начала. А может быть подскажете как искать тело вируса попроще, чем глазами всё просматривать ? :) может есть какая-то общая тенденция с помощью которой можно сочинить команду ?

Написано более трёх лет назад
zorca @zorca

Виталий Р, если base 64 применяется для декодирования не переменной, а абстрактного набора символов, это вирус 90%. Можете поступить по другому, прогнать сайты через сканер Aibolit. Но ручки/глазки надежнее.

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, помогите команду составить для вывода только php файлов

grep -pl "base64" /hosting | grep *.php

не то выдаёт. туплю опять, не могу логику врубить :(

Написано более трёх лет назад
zorca @zorca

Виталий Р, да вы хотя бы один файл то откройте, автоматизатор :-)

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

zorca, открыл уже штук 30 ))) пока что ничего подозрительного, кроме файла leave.php который весь состоит из зашифрованных (или просто с рандомными именами) переменных и таких же рандомноименных функций.
Знать бы еще что конкретное искать в этих файлах ))) Я конечно не совсем чайник, понимаю в пхп поверхностно. Что там как, но вот что конкретно и для чего - понять уже сложнее.

Написано более трёх лет назад
zorca @zorca

Виталий Р, рандомные имена функций это уже почти 100% вирусня.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

6 комментариев

Виталий Р @ultrix Автор вопроса

1. с SSH конечно все плохо и я бы рад сделать как вы советуете только... Проблема в том, что есть у нас тут целый отдел, который работает со всеми этими серверами. Я в отделе не особо авторитетный, ибо слабенько шарю, хоть и стремлюсь изучать всё на свете. Первое что я предложил, это сменить нафиг пароли и порт ssh. Мне сказали, "да это не в этом дело, там просто всё старое и дырявое"

2. Вирус запускается от www-data

по ривизии.... Всё старое и обновляться:

"ни в коем случае нельзя, ибо всё перестанет работать и вообще, итак всё работает, ни че не трогай, удаляй из темпа руками этот вирус" (ну я скрипт напишу, на первое время, пока разбираюсь)

На самом деле времени куча ибо никто разбираться с этим не хочет, а мне интересно и есть свободное время. Думаю получить очень полезный опыт. Так как "свои" не очень то любят помогать, ведь постоянно заняты - пишу сюда. :)

Написано более трёх лет назад
Stanislav Pugachev @Stqs

Виталий Р,

ну учитывая что никто в результате кроме вас не заинтересован - то удачи Ж)
шучу

на самом деле если время позволяет и сайты простенькие - мигрировать их на другую машину где все ПО обновлено в принципе не сильно сложно
грубо говоря если там 4 сайта-визитки лежит - то перенести их на новую машину дело плевое
может стоит в эту сторону посмотреть

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

Stanislav Pugachev, так если вирус сидит в php файлах сайта (может и сайтов) то вирус с ними же и перенесется. Разве нет ?

Написано более трёх лет назад
Stanislav Pugachev @Stqs

Виталий Р,
как вирус может сидеть в пхп файлах? (кроме варианта когда программист специально туда уязвимость намеренно добавил)

никто ваши пхп-файлы патчить не будет потому что нахрен вы кому сдались со своими 4ю микросайтами
вас же явно ломают автоматически а не вручную. вы представляете себе какой это геморрой делать reverse-engineering ваших приложений, а потом писать что-то кастомно заточенное для конкретного сервера. эти временные затраты вы не окупите никогда. Это ведь тоже софт, его писать нужно, тестировать нужно, обкатывать.

Грубо говоря есть миллион серверов. на них миллион разных сайтов.
но все они ранаются на апаче. Поэтмоу использовать будут уязвимость апача а не вашего пхп приложения - потому что этим решением можно поломать миллион хостов а не ваш 1. Тогда это имеет экономическую целесообразность.
поэтому ломают "ковровым бомбометанием" сканируют сеть и проверяют на наличие известных уязвимостей у известного ПО всю сеть сразу. КТо просканился успешно - тому вставляют стандартный майнер.

Я могу быть не прав что ваше приложение (php) никак в процессе не участвует
на уровне логики приложения могут какие-то косяки в безопасности типа позволено аплоадить какие-то стремные файлы на сервер без проверки mime-type или чо-нить типа того.
Но опять же даже если это так - то это результат испольования стандартного известного типа уязвимостей а не результат пристального и скурпулезного поиска уязвимости в вашем сайте

если сайты деплоились гитом можете пойти в папку с сорцами и посмотреть git status
я уверен на 99% что там будет все чисто

Написано более трёх лет назад
Stanislav Pugachev @Stqs

первый вопрос мой конечно не совсем корректен
конечно дописать код можно в php файлы
я имел в виду что по-моему вряд ли это входит в стандартный пакет поломки подобных приложений

Написано более трёх лет назад
Виталий Р @ultrix Автор вопроса

Stanislav Pugachev, а как вы предполагаете он может запускаться ?

в темпы закачиваются 2 файла, исполнительный и конфиг. Запускаются и собственно вирус начинает майнить.
Я хочу узнать именно откуда (ипишник) и кем (через что). Откуда они появляются. Кто инициирует ? процесс это ли какой-то или пхп скрипт. Я предположил, что на одном из моих сайтов в тело какого-нибудь стандартного скрипта вшит код закачки данного майнера и его запуск. или хз как еще ??

просто со схемой вирус внутри пхп - я уже сталкивался. Так же тут обратил внимание у себя натакой файлик

leave.php Внутри все переменные - наборы символов. и вообще он очень странный. У меня 4 сайта. этот файлик лежал только в publik_html в одном. Щас его переименовал и перенес. Посмотрю, подожду.

Так же в этом же самом каталоге лежат .htacces и .htacces.bak - скрытые оО я просто не шарю, что это такое, в смысле зачем они.

Написано более трёх лет назад

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

+1 ещё

Простой
Как работает спам сообщений в ютубе?
- 1 подписчик
- вчера
- 108 просмотров
2

ответа
Веб-разработка

Простой
Как сделать чтобы при нажатии на кнопку или сылку в div блоке открывалась галерея?
- 1 подписчик
- 23 апр.
- 40 просмотров
0

ответов
Веб-разработка

Простой
Почему сайт отображается некорректно?
- 1 подписчик
- 22 апр.
- 142 просмотра
3

ответа
JavaScript

+1 ещё

Простой
Существуют ли браузерные реализации WebView для AJAX и Fetch?
- 1 подписчик
- 22 апр.
- 91 просмотр
1

ответ
Веб-разработка

Простой
Каково критическое количество HTTP (ajax) запросов на сервер, как его расчитать?
- 1 подписчик
- 21 апр.
- 93 просмотра
3

ответа
Веб-разработка

+1 ещё

Простой
Как реализовать Web-CLI?
- 1 подписчик
- 21 апр.
- 79 просмотров
1

ответ
Веб-разработка

+1 ещё

Средний
Как вывести уведомления в фоновом "WebView"-приложении?
- 1 подписчик
- 21 апр.
- 71 просмотр
2

ответа
Веб-разработка

Простой
Как обойти блокировку просмотра видео?
- 1 подписчик
- 20 апр.
- 108 просмотров
3

ответа
Веб-разработка

Средний
Как отсортировать в ХТМЛ по дате рождения от младшего к старшему, а так же, нумерацию их 1,2,3,4. Чтобы можно было потом добавить еще людей?
- 1 подписчик
- 20 апр.
- 108 просмотров
1

ответ
Веб-разработка

Простой
Не будет ли проблем при использовании хостинга другой страны?
- 1 подписчик
- 18 апр.
- 139 просмотров
2

ответа
Показать ещё Загружается…

Веб-разработчик

Искра • Екатеринбург

от 80 000 до 100 000 ₽

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Веб-разработка и управление IT в Sortage

Sortage • Москва

от 180 000 ₽

Настроить ИИ модель IPadapter

26 апр. 2024, в 11:17

2000 руб./за проект

Кастомизация модуля sale интернет-магазина на 1С Битрикс

26 апр. 2024, в 11:07

1000 руб./в час

Настройка шаблона (или темы) WP/

26 апр. 2024, в 11:02

2000 руб./за проект

Поискать по файлам ключевые слова с доменом и base64.
zorca, поискал по домену - их нет. Кроме двух ранее обнаруженных - файла конфига и исполняющего файла. искал по crypto-pool.

base64 не искал. Щас запускаю поиск.
zorca, по base64 нашло дофига чего. Прям вообще дофигища. В папке home у всех пользователей во всяких бэкапах, во всяких ява и пхп скриптах. В файлах конфигов. В папке хостинг в каждом сайте. Короче практически везде где только можно )))

Как отсортировать именно то что мне надо ?
zorca, Тааак... вы наверно имели ввиду поискать по шифру, который в файле конфига вируса, перед доменным именем :):)

Туплю. Щас попробую поискать по нему.
Виталий Р, проблема в том, что вирус на автомате дописывает себя вообще в каждый index.php обычно, так что ситуации вашей не позавидуешь. Если сайты на движках, нужно перезаливать ядро движков, если нет, то чистить каждый файл ручками.
zorca, 3 сайта самописные, 1 на движке. вот щас еще один на движке добавляю.

Я бы разобрался откуда он лезен. Откуда файлики берет эти в темп, откуда себя дописывает. Узнав эту инфу, попытался бы его позапрещать
Виталий Р, он лезет из каждого php, куда дописано тело вируса. А внешний робот их просто запускает по расписанию.
zorca, как найти где дописано тело вируса ?
Виталий Р, поиск по ключу base64. Вам нужно три раза написать? Тогда контрольный. Поиск по ключу base64.
Виталий Р, только что чуть выше писали, что нашлось дофига всего в каждой папке. Любой фрагмент из файла php с участием base64 приведите.
zorca, читайте дальше :) Я же написал, что тупанул. я искал "base64" а только после того как написал сюда понял, что надо сам шифр вставлять из конфига вируса. :)

Кстати, этот шифр, каждый раз разный.
Виталий Р, ну я так и думал, что придется еще раз повторить: ищем все php файлы, которые используют base64, анализируем каждый, если вирус - удаляем тело вируса. Не хотите делать то что вам говорят, так больше не будет никто на вопросы Ваши отвечать.
zorca, так...

Вы имеете ввиду, что я сделал все правильно ? :) Искать [ grep -pl "base64" / ] А дальше в каждом из найденных файлов искать тело вируса ? :):):)
zorca, ох :) какая-то жесть намечается. Ладно, отступать я не привык :)

grep -pl "base64" /*.php для начала. А может быть подскажете как искать тело вируса попроще, чем глазами всё просматривать ? :) может есть какая-то общая тенденция с помощью которой можно сочинить команду ?
Виталий Р, если base 64 применяется для декодирования не переменной, а абстрактного набора символов, это вирус 90%. Можете поступить по другому, прогнать сайты через сканер Aibolit. Но ручки/глазки надежнее.
zorca, помогите команду составить для вывода только php файлов

grep -pl "base64" /hosting | grep *.php

не то выдаёт. туплю опять, не могу логику врубить :(
Виталий Р, да вы хотя бы один файл то откройте, автоматизатор :-)
zorca, открыл уже штук 30 ))) пока что ничего подозрительного, кроме файла leave.php который весь состоит из зашифрованных (или просто с рандомными именами) переменных и таких же рандомноименных функций.
Знать бы еще что конкретное искать в этих файлах ))) Я конечно не совсем чайник, понимаю в пхп поверхностно. Что там как, но вот что конкретно и для чего - понять уже сложнее.
Виталий Р, рандомные имена функций это уже почти 100% вирусня.

Answer 1 · 2018-02-19 13:51:07

Виталий Р,

1)я бы попытался обновить ось если конечно это допустимо
2)отключаем ssh по паролю вообще
оставляем только по ключам
меняем дефолтный порт с 22 на какой-то другой
3)делаем ревизии имеющегося барахла ( конечно нас интересует те части системы которые хоть как-то выглядывают наружу) - нужно иметь список подозреваемых. то есть грубо говоря netstat'ом смотрим список открытых портов
маппим их в процессы
смотрим что это за процессы и выясняем насколько это ПО устаревшее и дырявое

дальше идем по списку тулзов/фремворков которые мы отревизили и пытаемся по базам уязвимостей найти чтото интересное для нашей версии продукта
если там действительно жопа и уязвимостей уже куча - то деваться некуда придется обновлять ПО

ответ конечно не исчерпывающий потому как оно все очень depends
но я так понимаю вы вообще в растерянности и не знаете с чего начать
так что первое правило - нужно узнать по-максимуму все о своей системе и нужно олицетворить зло (то есть узнать с каким конкретно ПО мы имеем дело на данном конкретном сервере)
дальше проще пойдет

если время позволяет - разобраться бы от какого пользователя все это барахло запущено
может быстро получиться порубать права кому-то и опять же получить максимально быстро какой-то результат

Answer 2 · 2018-02-20 12:39:20

Если инициируется снаружи (запрос php-скрипта) то можно попробовать найти по логам Apache в момент создания файлов в /tmp . То есть просто смотрим время создания, и по access-log - какие скрипты в этот момент запрашивались и откуда. Возможно, удастся выловить и обойтись малой кровью, просто подчистив исходник.

Но дырку всё равно нужно искать. Пропатчили один раз - пропатчат и второй (если пролезло через php - то 99% что проблема в какой-нибудь древней уязвимости одного из стандартных фреймворков, Stanislav Pugachev прав, никто ничего специально писать не стал бы).

Как понять откуда появляется майнер?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт