|
| ||||||||
|
巻き戻し中。
|
|
2013-11-08(金) 焦った(;´Д`) [長年日記]
_ 侵入
朝からperlがCPU食い潰しておかしいと思っていたら。。。
php経由でperlからGET掛けられたり、実行に失敗してperlが無限ループしていた模様。
プロセス監視で引っ掛けたperlでgetしようとしていたURLは、別の検証機からダウンロードしてみたら「PWNED!!」みたいなコメントがたくさん入ってるpythonのスクリプトとかw
パーミッションの関係から/tmpに落として実行しようとしていたツールもパスワード窃取系。
とりあえず、ログをチェックしながらファイルを確保、不審なプロセスをはたき落としながら応戦。*1
*1 お仕事柄、情報収集も兼ねて昼間の打合せラッシュをこなしながら、リモートでインシデント対応というw
_ 解析
さて、この侵入劇の入り口はどこかさっさと確定して手を打たねばならん。
当初、プロセスから得られた情報は「perlで叩かれてる」だけ。
調査の基本としては「最近何かやった?」が最初。
ここ数日で変更があったのは、rubyとtDiary。
どっちも、本日現在の最新。
脆弱性を調べても、そんなコマンド投げ込まれるようなものは該当しない。
でも、「ゼロディかな?」「なんか設定ミスった?」とか考えて時間を食ってしまった。
php/rubyを使うcgiを一時的に使用停止して様子を見ながらログ解析。
apacheのログを追いかけたら、「php.cgi」でperlを叩いてる。
何そのベタなコマンド・・・OTL
_ 原因
以前に、「妹認証」を実験する際にphpのインタープリタへのリンクを/cgi-binに置いたまま消し忘れてた。
で、該当の侵入者の行動を見ると/cgi-binの「php.cgi」「php4.cgi」「php5.cgi」などを当てずっぽうにプローブしてヒットしたものを使ったみたい。
確かにね。。。
ちなみに、過去のログまでチェックしたら、某脆弱性スキャナは発見していたようなんだけど、オレにレポート無かったなぁ(;´Д`)
さすがに、2年前の設定漏れを今日になって突かれるというのは予想外ですた。
先入観を持たずに調査しないとイカンというよい教訓。
_ 素性
一両日で始まったアクセス、登場したIPは2ヶ所。
「93.120.84.31」と「77.68.62.77」
欧州方面かな。
どっちも、ググると調査行為などで結構チェックされてるIPですわ。
調査やアクセス制限にブラックリストを使うのもありかもね。
_ 調査
そう言えば、落としてきたバイナリ類は実行に失敗してた。
stringsしたらLinux用のライブラリに色々リンクしてるようだったけど、、、
「Linuxだとおもった?残念、FreeBSDでした!」
って言う事ですねw
トップページ見てれば、日本語分からなくてもOSの想像できたろうに。
ついでなので、安全のために/tmpはnoexecでマウントし直しましたよ。
Tweets by RC31E | |||||||||
| |||||||||
|