針對此PHP漏洞的嘗試，ColdFusion，內(nèi)容管理系統(tǒng)存在此漏洞是很常見的。在某些情況下，特定的攻擊可能會成功，對高價(jià)值的服務(wù)器，會導(dǎo)致非常顯著的數(shù)據(jù)泄漏。在其他情況下，攻擊者將會大規(guī)模的操控被感染的主機(jī)。 

最近，我注意到多個(gè)IP地址試圖利用一個(gè)PHP漏洞攻擊，所以我利用蜜罐記錄了結(jié)果，此次活動讓人想起早期僵尸網(wǎng)絡(luò)瘋狂的日子，用IRC命令控制，以及利用被入侵的主機(jī)作為掃描工具。 這是很有趣的，因?yàn)樗砻魉且粋€(gè)成功針對Linux服務(wù)器的PHP漏洞，它能做什么呢，我將演示如何做一些基本的內(nèi)存取證，可以使用Volatilit這種類型的事件進(jìn)行總結(jié)。

以下是攻擊者嘗試的攻擊：

這是針對一個(gè)老漏洞（CVE-2012-1823）的，它允許遠(yuǎn)程攻擊者通過命令行選項(xiàng)HTTP查詢字符串內(nèi)注入任意代碼。

攻擊代碼解碼后為：

如果利用成功，將在HTTP POST的剩余部分顯示。

以下是在被入侵的服務(wù)器上執(zhí)行的操作：

·改變工作目錄到/var/tmp中
·從該目錄刪除文件名為“a.pdf”的文件。
·從攻擊者那里下載“a.pdf”文件并保存在/var/tmp目錄。pdf文件實(shí)際上是一個(gè)per腳本。
·執(zhí)行per腳本，也就是“a.pdf”文件。
·最后刪除“a.pdf”文件。

此攻擊者為了確保能成功下載遠(yuǎn)程腳本，他重復(fù)使用“curl”、“fetch”、“lwp-get”指令。

捕獲的數(shù)據(jù)包顯示了注入腳本的整體活動，在執(zhí)行腳本后，休眠了一段時(shí)間，猜測可能是避開管理員的耳目。然后連接到vafel.pexit.cu的IRC C2，端口45129。

一段時(shí)間后，攻擊者指示從m1.pexit.cu.cc獲取另一個(gè)腳本“ins_h.sh”。

在“ins_h.sh”腳本的內(nèi)容顯示除其他事項(xiàng)外，攻擊者在Linux服務(wù)器上創(chuàng)建隱藏目錄，獲取另一個(gè)工具（HC）的源代碼，并編譯它，然后修改保存到定時(shí)任務(wù)中。 在這之后不久，大量的各種文件將被下載到被感染的主機(jī)，這其中包括挖掘軟件，開發(fā)庫和編譯工具，還下載了大量的linux本地權(quán)限提升利用程序。之后，攻擊者將使用他想要的方式，開始比特幣和質(zhì)數(shù)幣的挖掘，特別值得注意的它使用Stratum Mining協(xié)議連接到服務(wù)器37.251.139.161上：

大多數(shù)服務(wù)器都被注射了這些不同的腳本然后用于各種任務(wù),包括DDoS、漏洞掃描和利用?；ヂ?lián)網(wǎng)風(fēng)暴中心最近發(fā)布了條新聞,“邁納德的情況”,探討了被破壞的服務(wù)器被用于開采虛擬貨幣。

現(xiàn)在，讓我們做一些內(nèi)存取證這一特定被攻陷主機(jī)的內(nèi)存圖像。我們將使用2.3.1版本分析Linux映像,為了做到這一點(diǎn)，你必須提供適當(dāng)?shù)腖inux配置文件,創(chuàng)建一個(gè)配置文件是非常容易的,但它需要做適當(dāng)?shù)姆植己蛢?nèi)核。我推薦Ken Pryor的Github網(wǎng)站,Ken Pryor在那里建立了一個(gè)Linux配置文件存儲庫。 根據(jù)分析，該系統(tǒng)是一個(gè)Ubuntu 10.04的服務(wù)器，內(nèi)核版本2.6.32-33，我們先來看看系統(tǒng)上的活動進(jìn)程，通過“linux_pslist”插件。

注意PID1517（httpds）和PID27157（rsyslogd）的時(shí)間戳，遠(yuǎn)遠(yuǎn)晚于它上面列出的這些進(jìn)程。由于早期過程及其相對時(shí)間戳類似于Linux的啟動程序，另請注意，這些進(jìn)程顯示一個(gè)用戶ID和組ID1002，其中的Ubuntu分配給一個(gè)用戶帳戶。

波動插件“linux_psaux”的行為類似于Linux命令ps,所以它能夠顯示在流程調(diào)用使用的命令行參數(shù)：

所以進(jìn)程名命名為“httpds”，PID為1517，目錄/usr/bin/httpd，另外一個(gè)進(jìn)程“rsyslogd”，PID為27157，并調(diào)用命令行參數(shù)“-b -c”。如果我們獲得一個(gè)破壞服務(wù)器的磁盤映像，我們會注意檢查/usr/bin的“httpd”。通過研究“rsyslogd”,我們得知“- b”不是一個(gè)有效的選項(xiàng),所以這個(gè)進(jìn)程仍然是可疑的。當(dāng)通過pslist命令列出的進(jìn)程列表，找到運(yùn)行的進(jìn)程，“linux_pidhashtable”可以幫我們找到隱藏的進(jìn)程。

在這種情況下，它是一個(gè)很好的做法，檢查服務(wù)器的網(wǎng)絡(luò)信息，一些網(wǎng)絡(luò)插件，這將有助于確定遠(yuǎn)程連接和啟動這些進(jìn)程。例如“linux_netstat”插件的行為就像Linux的“netstat”命令，并列出活動的網(wǎng)絡(luò)連接，以及監(jiān)聽套接字。在這種情況下，我們看到可疑的進(jìn)程，PID1517和PID27157與建立的網(wǎng)絡(luò)連接的遠(yuǎn)程IP地址相關(guān)聯(lián)的進(jìn)程。

執(zhí)行“linux_route_cache”插件，可以顯示路由表的緩存。這可能表明，可以不通過“linux_netstat”插件看到任何舊的連接。

現(xiàn)在，我們已經(jīng)建立的PID1517和27157的可疑進(jìn)程，讓我們所有的相關(guān)的每一個(gè)打開的文件和路徑的列表。類似于在linux系統(tǒng)使用“lsof”的，我們將在這里使用插件“linux_lsof”。

注意，這兩個(gè)進(jìn)程，PID1517和27157有兩個(gè)共同打開的文件。一個(gè)是[7916]，另一個(gè)是在隱藏目錄“/tmp/.ICE-unix/-log/”中的httpd.pid文件。

另一個(gè)插件是“linux_proc_maps”，這個(gè)插件將顯示進(jìn)程內(nèi)存的細(xì)節(jié)，包括共享庫。細(xì)節(jié)包括開始和結(jié)束的位置，每個(gè)部分的節(jié)點(diǎn)和標(biāo)記。這事從內(nèi)存中調(diào)查處的很有價(jià)值的信息。例如，在PID1517，我們得到以下內(nèi)容：

我們看到前面所提到的相同的隱藏目錄，但現(xiàn)在指的是文件名“httpds”。該文件被看作是405961，在“linux_proc_maps”插件上有一個(gè)輸出開關(guān)，允許以段列出。然而，為了恢復(fù)完整，完好的文件，我們需要從頁面緩存，它保存在內(nèi)存中的所有有關(guān)文件的頁面。我們可以通過“linux_find_file”插件做到這一點(diǎn)，這個(gè)插件會找到地址，然后讓你從內(nèi)存轉(zhuǎn)儲緩存的文件內(nèi)容，所以“httpds”文件在節(jié)點(diǎn)405961：

python vol.py -f /home/abc/pexit.vmem --profile=LinuxUbuntu1004_pae32-33x86 linux_find_file -F "/tmp/.ICE-unix/-log/httpds"

然后,我們使用“linux_find_file”插件使用“- o”選項(xiàng),通過索引節(jié)點(diǎn)的地址,以提取文件。提取后,我們可以運(yùn)行“strings”,查看內(nèi)容：

這些例子只是協(xié)助你如何分析被破壞主機(jī)。我希望這篇文章成功的揭示了PHP漏洞和由此產(chǎn)生的腳本注入的例子的一些情況，除了確保面向Internet的服務(wù)器使用正確的修補(bǔ)和硬化，還要知道如何快速跟蹤這樣的攻擊。在我的蜜罐，我每天會看到數(shù)十個(gè)，包括linux ELF，perlbots和老式炮彈攻擊。這些注入perl和shell腳本是非常讓人討厭的，而且還會給我們帶來最嚴(yán)重的破壞。

[原文地址，譯/FreeBuf 實(shí)習(xí)小編Rem1x]