Guía para Mayhem Infección

Descripción:

La infección Mayhem expone su servidor a actividades de la red abusivas utilizando una cuenta de usuario del sitio web comprometido.

 Los objetivos de malware son sitios web vulnerables (por lo general Content Management Systems" CMS ", como Wordpress o Joomla) , Subida de archivos maliciosos en el contenido y pone en marcha un proceso para llevar a cabo ataques de fuerza bruta ( web ) en contra de otros sitios web (víctimas).

 

¿Cómo se detecta la infección?

1- Identifique el proceso malicioso en ejecución:

El proceso malicioso crea un gran número de sesiones para los diferentes sitios de las víctimas (probablemente el puerto 80). Usted tiene que poner en una lista las sesiones activas e identificar aquellas relacionadas con un tráfico saliente enorme que apunte a IP remotas en el puerto 80.

Por ejemplo:

lsof -Pni | grep ":80 " | grep -v "LISTEN"
host      25531    baduser   30u  IPv4 327155191      0t0  TCP serverip:59927->victimip:80 (ESTABLISHED)
host      25531    baduser   54u  IPv4 327155485      0t0  TCP serverip:39584->victimip:80 (ESTABLISHED)
host      25531    baduser   57u  IPv4 327156257      0t0  TCP serverip:53746->victimip:80 (ESTABLISHED)
host      25531    baduser   70u  IPv4 327156393      0t0  TCP serverip:40465->victimip:80 (ESTABLISHED)
host      25531    baduser   80u  IPv4 327156062      0t0  TCP serverip:37758->victimip:80 (ESTABLISHED)
[...]

 

2- Identifique la ruta de acceso al sitio web infectado:

Por ejemplo:

lsof -p 25531 | egrep "cwd|DEL"
host    25531 baduser  cwd    DIR       9,2        0  95945663 /home/baduser/public_html/wp-content/uploads/dir (deleted)
host    25531 baduser  DEL    REG       9,2           95946182 /home/baduser/public_html/wp-content/uploads/dir/rss-aggr.so
host    25531 baduser  DEL    REG       9,2           95946184 /home/baduser/public_html/wp-content/uploads/dir/.sd0
host    25531 baduser  DEL    REG       9,2           95946183 /home/baduser/public_html/wp-content/uploads/dir/bruteforce.so


En este ejemplo, el proceso malicioso es 25531 y el usuario comprometido es "bad user".   La carpeta del sitio web infectado normalmente contiene uno o varios de los siguientes archivos:

  • .sd0
  • bruteforceng.so
  • rss-aggr.so
  • bruteforce.so
  • 1.sh
  • un script PHP para el instalador de malware
  • un WSO Webshell en PHP (backdoor en php)


Como los nombres de archivo cambian de una infección a otra, le recomendamos que busque todos los archivos creados o modificados recientemente en la carpeta del sitio, y busque cualquier contenido sospechoso.

IMPORTANTE: El software antivirus puede detectar o no archivos maliciosos. 

¿Cómo se detiene la infección?

  1. Matando el proceso malicioso.
  2. Elimine (quite) los archivos maliciosos (quite manualmente los archivos identificados y ejecute una exploración de maldet). 
  3. Inspeccione y limpie el crontab del usuario comprometido (a veces contiene un cronjob con reinicio automático). 
  4. Proteja su sitio (actualice la instalación, arregle errores de configuración del propietario/permisos, etc.). 
  5. Como medida preventiva, usted debe darle mantenimiento a su CMS.

Le recomendamos encarecidamente que monitoree regularmente sus procesos y suspenda la cuenta del usuario infectado para detener ataques salientes hasta que se realice una investigación más profunda. 

 Referencia:

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk