Qué pasos deben seguirse para identificar el agujero de seguridad

4

Yo uso VPS hosting. Instale CentOS 6 y ZPanel de acuerdo con este tutorial enlace

Se recibió una advertencia del proveedor de alojamiento: Esta URL se ha identificado como un sitio de phishing y actualmente está involucrada en actividades de robo de identidad. URL: hxxp: //111.11.238.177/www.connet-itunes.fr/iTunesConnect.woasp/ (url aquí y además están un poco modificados)

Archivos del servidor descargados a la computadora local. Se buscó itunes . Se encontraron registros como estos

\var\log\httpd\access_log
111.11.160.253 - - [20/Oct/2013:15:18:07 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.1" 200 1326 "-" "curl/7.18.2 (i486-pc-linux-gnu) libcurl/7.18.2 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.10"
11.111.144.148 - - [20/Oct/2013:15:30:13 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.1" 200 1326 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows\t\t\t\t\tNT 5.2)"
11.111.33.36 - - [14/Oct/2013:03:26:49 -0400] "POST /www.connet-itunes.fr/iTunesConnect.woasp/inscription/ HTTP/1.1" 200 13392 "http://176.56.238.177/www.connet-itunes.fr/iTunesConnect.woasp/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.50.2 (KHTML, like Gecko) Version/5.0.6 Safari/533.22.3"

\var\zpanel\logs\domains\zadmin\mydomainname.com-error.log 1 443,00 KB 23.10.2013 09:12:56
[Tue Oct 15 02:47:30 2013] [error] [client 11.11.253.220] File does not exist: /var/zpanel/hostdata/zadmin/public_html/mydomainname_com/www.connet-itunes.fr, referer: http://www.mydomainname.com/www.connet-itunes.fr/iTunesConnect.woasp/

\var\var\zpanel\logs\domains\zadmin\mydomainname.com-access.log 111,00 KB 23.10.2013 09:12:56
11.11.253.220 - - [15/Oct/2013:02:47:30 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.0" 404 - "http://www.mydomainname.com/www.connet-itunes.fr/iTunesConnect.woasp/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)"

\var\zpanel\logs\domains\zadmin\anotherdomain.lv-access.log 4 386,00 KB 23.10.2013 14:02:56
11.11.164.110 - - [15/Oct/2013:02:47:36 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.0" 404 42823 "http://www.anotherdomain.lv/www.connet-itunes.fr/iTunesConnect.woasp/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)"

\var\zpanel\logs\domains\zadmin\anotherdomain.lv-error.log 196,00 KB 23.10.2013 12:41:40
[Tue Oct 15 02:47:36 2013] [error] [client 11.11.164.110] File does not exist: /var/zpanel/hostdata/zadmin/public_html/anotherdomain_lv/www.connet-itunes.fr, referer: http://www.anotherdomain.lv/www.connet-itunes.fr/iTunesConnect.woasp/

\var\log\httpd\error_log 36,00 KB 23.10.2013 13:08:36
[Tue Oct 15 03:50:03 2013] [error] [client 11.111.23.90] Directory index forbidden by Options directive: /etc/zpanel/panel/www.connet-itunes.fr/
[Tue Oct 15 05:28:28 2013] [error] [client 11.111.140.53] File does not exist: /etc/zpanel/panel/favicon.ico, referer: http://111.11.238.177/www.connet-itunes.fr/iTunesConnect.woasp/
[Sat Oct 19 17:46:38 2013] [error] [client 5.49.165.166] PHP Notice:  Undefined index: donnee2 in /etc/zpanel/panel/www.connet-itunes.fr/iTunesConnect.woasp/inscription/index.php on line 277

Se encontró un archivo (virustotal.com identificado como PHP:Shell-BH [Trj] , PHP/BackDoor.BT , VEX16c0.Webshell , PHP/PhpShell.NAJ , Backdoor:PHP/Shell.Q ). El uso de ese pirata informático parece tener un control total de los archivos del servidor (ver, eliminar, cargar, modificar); Revisé el archivo en la computadora local (wamp).

Pero de todo lo anterior no tengo idea de dónde está el agujero de seguridad. La ubicación de ese archivo fue etc/zpanel/panel/bin/ . ¿Significa que el hacker hackeado ZPanel? Encuentre una discusión relacionada aquí enlace Pero no hay solución. Indique qué pasos deben seguirse para identificar los agujeros de seguridad

    
pregunta Andris 23.10.2013 - 16:56
fuente

1 respuesta

5

Lamentablemente, las entradas de registro que muestra no se relacionan necesariamente con la vulnerabilidad que permitió al atacante ingresar en primer lugar. Estos registros muestran que el atacante insertó un archivo infectado en su servidor y luego usó su servidor como un host auxiliar para infectar a otras personas: su servidor se usó como un servidor de archivos simple. La URL que comienza con "http: //", luego su dirección IP, luego una "/", luego un "nombre de servidor aparentemente honesto", es un intento obvio de hacer que los usuarios humanos crean que están descargando el archivo desde un iTunes oficial fuente, y no su servidor.

El hecho de que el archivo se encuentre dentro de los directorios de ZPanel puede indica que la vulnerabilidad utilizada por el atacante no le otorgó acceso completo, sino que solo le permitió enviar un archivo propio, en un directorio que el atacante no controla completamente. Este sería un buen caso para usted: significaría que la vulnerabilidad está efectivamente en ZPanel, y que su máquina puede ser rescatable (es decir, solo fue parcialmente invadida). Tenga en cuenta que algunas búsquedas en Google revelan que la seguridad de ZPanel está siendo cuestionada .

Sin embargo, no podemos excluir lógicamente un escenario más oscuro, donde el atacante tomó el control total de la máquina y empujó el archivo en el directorio de ZPanel solo para que tuvieras pocas probabilidades de tropezar con él. Si ese es el escenario real, entonces tendrá que volver a formatear el servidor completo (la cura "Nuke for Orbit").

En cualquier caso, para identificar la primera vulnerabilidad, debe buscar entradas de registro anteriores. Las fechas de creación / modificación del archivo en su sistema de archivos pueden dar pistas sobre cuándo se insertó el archivo en su servidor. Esto puede haber ocurrido bastante antes (el atacante puede haber dejado el archivo "inactivo" durante algunos días o semanas antes de usarlo para su estafa de phishing).

    
respondido por el Tom Leek 23.10.2013 - 17:35
fuente

Lea otras preguntas en las etiquetas