Guide pour une infection par le maliciel Mayhem

Description :

L’infection Mayhem exploite votre serveur afin de réaliser des activités abusives à l’aide d’un compte utilisateur compromis d’un site Web.

Le maliciel cible les sites Web vulnérables (en général des systèmes de gestion du contenu comme Wordpress ou Joomla). Il charge ensuite les fichiers malveillants dans le contenu et lance un processus permettant de réaliser des attaques Web (attaque par force brute) contre d’autres sites Web (victimes).

Comment repérer l’infection?

1- Détecter le processus de lancement des attaques :

Le processus malveillant crée un grand nombre de sessions sur les sites Web des victimes (possiblement à l’aide du port 80). Vous devez donc établir la liste des sessions actives et déterminer celles qui sont liées à un trafic sortant dense visant l’IP distante du port 80.

Exemple :

lsof -Pni | grep ":80 " | grep -v "LISTEN"
host      25531    baduser   30u  IPv4 327155191      0t0  TCP serverip:59927->victimip:80 (ESTABLISHED)
host      25531    baduser   54u  IPv4 327155485      0t0  TCP serverip:39584->victimip:80 (ESTABLISHED)
host      25531    baduser   57u  IPv4 327156257      0t0  TCP serverip:53746->victimip:80 (ESTABLISHED)
host      25531    baduser   70u  IPv4 327156393      0t0  TCP serverip:40465->victimip:80 (ESTABLISHED)
host      25531    baduser   80u  IPv4 327156062      0t0  TCP serverip:37758->victimip:80 (ESTABLISHED)
[...]

 

2- Déterminer le chemin vers le site Web infecté :

Exemple :

 

lsof -p 25531 | egrep "cwd|DEL"
host    25531 baduser  cwd    DIR       9,2        0  95945663 /home/baduser/public_html/wp-content/uploads/dir (deleted)
host    25531 baduser  DEL    REG       9,2           95946182 /home/baduser/public_html/wp-content/uploads/dir/rss-aggr.so
host    25531 baduser  DEL    REG       9,2           95946184 /home/baduser/public_html/wp-content/uploads/dir/.sd0
host    25531 baduser  DEL    REG       9,2           95946183 /home/baduser/public_html/wp-content/uploads/dir/bruteforce.so

 

Dans cet exemple, le processus malveillant est 25531 et l’utilisateur compromis est « bad user ». Le dossier du site Web infecté comprend généralement un ou plusieurs des fichiers suivants :

  • .sd0;
  • bruteforceng.so;
  • rss-aggr.so;
  • bruteforce.so;
  • 1.sh;
  • un script PHP destiné au programme d’installation du maliciel;
  • une porte dérobée PHP (PHP WSO Webshell).


Puisque le nom des fichiers change d’une infection à une autre, nous vous recommandons de rechercher tous les fichiers récemment modifiés ou créés dans le dossier du site Web et de repérer tout contenu suspect.

IMPORTANT : Il est possible que votre antivirus ne détecte pas les fichiers malveillants. 

Comment arrêter l’infection?

  1. Détruisez le processus malveillant.
  2. Supprimez les fichiers malveillants (supprimez manuellement les fichiers détectés et lancez une analyse Maldet supplémentaire).
  3. Vérifiez et nettoyez le fichier de configuration (crontab) de l’utilisateur compromis (il contient parfois une tâche « cronjob » qui se redémarre automatiquement).
  4. Sécurisez votre site Web (mettez l’installation à jour, corrigez les configurations du propriétaire et des autorisations, etc.).
  5. À titre de mesure préventive, vous devez tenir votre système de gestion du contenu à jour.

Tant qu’une analyse complète n’a pas été réalisée, nous vous recommandons fortement de surveiller de façon régulière vos processus et de suspendre le compte de l’utilisateur infecté afin d’arrêter les attaques sortantes. 

 Références (en anglais) :

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk