Identificación del tipo de ataque del sitio web (Meuhy.php)

1

Tenemos algunos sitios que alojan en un servidor compartido de Media Temple (MT). Esta mañana, notamos que algunos de nuestros sitios web estaban caídos. Tras la investigación, nos dimos cuenta de que habían sido comprometidos. La estructura del directorio para MT es la siguiente: dominios > DOMAIN-NAME > html (también conocido como raíz del sitio web).

En el nivel de DOMINIO-NOMBRE, notamos un archivo llamado Meuhy.php . El soporte de MT dijo que parecía una especie de administrador de paquetes malicioso. Hice una búsqueda en Google para ese archivo, pero no encontré nada que ayudara a identificar su fuente. Sin embargo, noté que se había inyectado en otros sitios web: enlace

En la raíz web, encontramos que el código de WordPress se había inyectado en los archivos index.php , sin embargo, todos nuestros sitios, excepto uno, son sitios de Drupal. También descubrimos que se generaron una serie de archivos .xml. Contenían lo que parecía ser una serie de llamadas de servidor. Comprobamos el uso de la GPU y notamos que se disparó en torno a que se generaron estos archivos. Nuestro Google Analytics también muestra que el tráfico se disparó de forma anormal durante este tiempo.

Mi pregunta principal es, ¿alguien sabe qué tipo de ataque es este, y debemos preocuparnos de que nuestras bases de datos puedan verse comprometidas?

    
pregunta Kellen 18.05.2018 - 03:41
fuente

2 respuestas

0

Hemos descubierto que Meuhy.php permitía a los atacantes cambiar los permisos de cualquier directorio, así como cargar archivos. Parece que el archivo en sí podría utilizarse de muchas maneras diferentes. En nuestro caso, parece que los atacantes querían usar nuestros sitios web para servir spam.

Descubrimos que el atacante se había agregado a sí mismo como propietario en nuestra cuenta de la Consola de búsqueda de Google al agregar su propio documento .html de verificación de Google en nuestras raíces web. Luego solicitaron que se indexaran dos de nuestros sitios. Los archivos .xml que se cargaron son básicamente mapas del sitio que contienen 40,000 URL cada uno. En total, cada sitio web ofreció 200,000 URL en cinco archivos .xml. Utilizando Search Consolas Search Analytics, encontramos que la mayoría de los enlaces servidos eran japoneses.

Encontré este artículo que explica este tipo de ataque con más detalle. Espero lo mejor para cualquier otra persona que se haya efectuado: enlace

    
respondido por el Kellen 07.06.2018 - 14:45
fuente
1

Encontré el archivo Meuhy.php en 10 sitios de WordPress. También encontré estos archivos adicionales agregados a los sitios alojados en GoDaddy:

suspendido..php wp_rmder.php test.php

Lo anterior anota toda la fecha de la última modificación del 5 de mayo o del 14 de mayo de 2018.

index.php tenía un código PHP inyectado, la última modificación fue el 19 de mayo y se agregó un archivo HTML de Google para su verificación en la consola de búsqueda de Google el 19 de mayo.

Me avisaron por primera vez porque un nuevo propietario del nombre de dominio se agregó el 19 de mayo. Noté que se habían agregado 5 sitemaps XML ese día, cada uno con aproximadamente 40,000 URL.

    
respondido por el user178567 21.05.2018 - 13:10
fuente

Lea otras preguntas en las etiquetas