でこにくさんのサーバ異常負荷解決のお手伝いをしました

でこにくさんのサーバ異常負荷解決のお手伝いをしました
サーバで暗号通貨がマイニングされている
DocumentRootに怪しいPHPファイル
WEBサーバのログには何も残らず
この後にも攻撃を受ける
まとめ

でこにくさんのサーバ異常負荷解決のお手伝いをしました

お友だちのでこいさん（@decoy_284）が運営している、でこにくさんで、CPUリソースに異常な負荷がかかり、利用していたホスティング会社「mixhost」からいきなりアカウントサスペンド処理をされた、と呟かれていました。

最近WordPressを狙った攻撃が増えているので、もしかして何か攻撃されてるのでは？と思い原因究明のお手伝いをさせて頂きました。

サーバで暗号通貨がマイニングされている

まずはじめに、SSHでログインしてtopコマンドを叩いたところ、「xmr」というプロセスがCPUに対して異常な負荷をかけていることが分かりました。

xmrという名前でかつ、CPUリソースに対して異常な負荷をかけているとなると、恐らくMonero（$XMR）のマイニングが行われているのだなと推測しました。

ひとまずはこのプロセスを停止し、異常負荷の原因を取り除きました。

DocumentRootに怪しいPHPファイル

ひとまずは怪しいファイルがWEBサーバのDocumentRootにアップロードされていないか確認したところ、直下に「a3990fbae2a94009cd514bd6d9f1ae9f28851ca3a7651178ef9eea7572f8d3fe.php」という不審なPHPファイルを確認することが出来ました。

中身を確認してみると、curlもしくはwgetでgistに上げられているファイルをダウンロードして、shコマンドに渡すという、外部コマンドをexec()で実行するコードが確認できました。

つまり、攻撃者がこのPHPファイルをアップロードして、外部からアクセスするとWEBサーバ実行ユーザの権限で、記載されている外部コマンドが実行されます。

続いてダウンロードしてくるファイルの中身を確認してみます。

ダウンロードするファイルの中身はただのシェルスクリプトで、WEBサーバ実行ユーザのホームディレクトリに移動し、「.123」というディレクトリを作成し、その中に「xmr」という名前で外部から取得してきた.txtファイルを保存して、全ユーザに対し実行権限を付与してから、「xmr」ファイルを実行しています。

ちなみに、このマイナーを配布しているIPアドレスですが、DNS逆引きを行ったところ「www.andreamungari.com」という会員制のサイトのようです。

さて、このダウンロードしてきた「xmr」もとい「u_v3_w.txt」が何のファイルなのか、fileコマンドで確認してみます

[syobon@akashi ~]$ wget http://37.59.105.27/u_v3_w.txt
[syobon@akashi ~]$ file u_v3_w.txt
u_v3_w.txt: ELD 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked , stripped

上記よりLinuxの実効ファイルであることが分かります。つまりこのファイルがMoneroのマイナーというわけですね。

どうやら見る限りxmrig本体のようですね。ただ、マイニングする際はソロマイニングであっても、プールマイニングであってもオプションを指定しなければ、マイニングできないはず・・・

もしかしたら、攻撃者が現在別プールに変更しようとしている最中かも知れません。

WEBサーバのログには何も残らず

何が原因か分かりましたので、でこいさんに了承を得てWEBサーバのログを確認しましたが、当該の不審なPHPファイルをアップロードしたやアクセスした痕跡が見つかりませんでした。

WordPressの脆弱性が突かれたのかと思い、WP Scanも実行してみましたが特に脆弱性は見つからず。

ここから先はホスティングサービスという性質上、権限が付与されていないため確認できていないため、あくまで推測の域を出ませんが、もっと低レイヤーの脆弱性を突かれているのでは、と感じました。

この後にも攻撃を受ける

完全にこのスクショのままのコードがいましたね。https://t.co/0gvxYOyKXg

— でこい (@decoy_284) 2018年1月30日

あの作業の後、今度はfooter.phpにマイナーが仕込まれてURLをiframeで読み込ませるように改ざんされていたようです。

こちらについては、ログなどを見ていないため何とも言えませんが、継続して攻撃を受けているのは事実です。

ユーザが取れる対応としては、ホスティングサービスの国外IPアクセスをブロックするようなサービスを利用する事で一時的な被害は免れるかと考えられます。

ですが、恒久的な対策ではありませんので、脆弱性対策やセキュリティ対策をキチンとしたサーバに移転するしか無さそうですね・・・

まとめ

実はでこにくさん以外の方も似たような被害にあったときも、色々とお手伝いさせて頂きました。

知り合いの方限定ではありますが、似たような被害や困り事を抱えている場合は、お気軽にお声がけ頂ければと思います。