Kami telah mendengar banyak tentang serangan Bruteforce masuk WordPress. Saat memeriksa, kami dapat melihat bahwa IP serangan masuk mungkin telah menginstal cpanel dan benar-benar dihasilkan dari beberapa server lain yang terinfeksi.
Dua hari sebelumnya, kami mendapat pesan dari klien kami yang mengatakan bahwa pusat data telah memberi tahu mereka bahwa server terinfeksi dan membuat serangan ke server lain. Awalnya saya tidak bisa mendapatkan detail apa pun mengenai serangan itu karena tidak ada proses jahat yang berjalan, baik pemindaian menggunakan memberi saya petunjuk yang valid tentang serangan ini.
Saya baru saja memeriksa hasil tcpdump untuk melihat semua data apa yang sedang ditransfer dari server.
user@host ~ # tcpdump -A -i eth0 -s 1500 port not 22
Saat memeriksa hasilnya, saya dapat melihat ada sesuatu yang sedang terjadi dan banyak entri wp-login.php sedang berlangsung.
Contoh Output tcpdump (mengubah domain dan nama host)
v.G....pPOST /restaurants/wp-login.php HTTP/1.0^M Host: domain.com^M Content-Type: application/x-www-form-urlencoded^M Content-Length: 30^M ^M log=admin&pwd=minedoruksay2940 06:15:22.056294 IP host5.domain.com > host6.domain.com48202: Flags [P.], seq 2779525802:2779527849, ack 2761432155, win 3216, options [nop,nop,TS val 166530731 ecr 1994475337], length 2047
Saya mencoba menghentikan apache dan mysql ,psa, dan masih ada beberapa proses yang berjalan sebagai pengguna www-data dan prosesnya seperti di bawah ini.
www-data 1258 10.8 1.5 18327 1268 ? Ssl Dec10 129:10 /usr/bin/host
Saya mengambil hasil lsof dari perintah ini dan saya membuat pelakunya (akun) bertanggung jawab atas serangan ini Terima kasih kepada perintah lsof untuk memberi saya lokasi dan skrip yang benar.
Keluaran yang relevan dari perintah lsof
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME host 20636 username cwd DIR 9,2 4096 60874901 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js host 20636 username rtd DIR 9,2 4096 2 / host 20636 username txt REG 9,2 120240 68160132 /usr/bin/host host 20636 username DEL REG 9,2 60817452 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so host 20636 username mem REG 9,2 22928 23855190 /lib/libnss_dns-2.11.3.so host 20636 username mem REG 9,2 51728 23855282 /lib/libnss_files-2.11.3.so host 20636 username mem REG 9,2 12582912 60827148 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg host 20636 username DEL REG 9,2 60817412 /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
cwd : /var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js
Entri dari lsof di atas berarti serangan dihasilkan dari folder ini dan skrip berada di lokasi ini.
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/bruteforce.so
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/.frsdfg
/var/www/vhosts/domain.com/site1/wordpress/wp-content/plugins/subscribe2/extension/readygraph/assets/js/libworker.so
3 file di atas adalah file peretasan utama di mana /bruteforce.so tidak ada di server saat itu . Skrip ini telah dihapus segera setelah serangan dimulai.
Untuk memperbaikinya, saya telah menghapus seluruh folder "js" dan kemudian mematikan semua proses ini. Juga meminta klien untuk menghapus plugin. Akan lebih baik jika kita dapat menghapus file biner host (/usr/bin/host). Jika ada, mereka dapat kembali menyerang dan dapat membunuh reputasi server dalam beberapa jam.