Gehackte site of server

Uit De Vliegende Brigade
Ga naar: navigatie, zoeken

Casus: Juni 2018

Aanleiding

Abuse-melding provider.

Onderzoek

Dubieuse processen → gehackte Drupal-site

ps aux gaf aan dat er twee opvallend actieve processen waren met de naam nullcrew. Dat zag er niet goed uit. Mbv. locate nullcrew bleek dat deze bestanden actief waren vanuit de upload-map van een Drupal-installatie.

PHP-bestanden upload-map

In die upload-map stonden meer php-bestanden (plus mappen met php-bestanden):

rw-r--r-- 1 www-data www-data   60 jun 28 10:08 1.php
-rw-r--r-- 1 www-data www-data   60 jun 28 07:33 2.php
-rw-r--r-- 1 www-data www-data 100K nov  4  2017 alexusMaile.php
-rw-r--r-- 1 www-data www-data  697 jan  4 00:45 class-feeds.php
-rw-r--r-- 1 www-data www-data  35K nov  3  2017 evolve.php
-rw-r--r-- 1 www-data www-data  389 jun 27 02:45 fuck.php
-rw-r--r-- 1 www-data www-data  428 nov 17  2017 images.php
-rw-r--r-- 1 www-data www-data  43K mrt 31 13:27 includ.php
-rw-r--r-- 1 www-data www-data  376 feb 13 03:14 info.php
-rw-r--r-- 1 www-data www-data 4,4K sep 30  2017 installer.php
-rw-r--r-- 1 www-data www-data  110 nov 16  2017 lilo.php
-rw-r--r-- 1 www-data www-data 1,5K sep 13  2017 lyiriesh.php
-rw-r--r-- 1 www-data www-data  29K mrt  5 18:20 mailer.php
-rw-r--r-- 1 www-data www-data  110 nov 22  2017 nullcrew.php
-rw-r--r-- 1 www-data www-data  132 feb  3 06:55 nununu.php
-rw-r--r-- 1 www-data www-data  26K sep  3  2017 old_database.php
-rw-r--r-- 1 www-data www-data 1,1K sep 16  2017 prefetch.php
-rw-r--r-- 1 www-data www-data  34K sep 20  2017 sts.php
-rw-r--r-- 1 www-data www-data  135 sep 19  2017 sysd.php
-rw-r--r-- 1 www-data www-data  134 mei 19 14:41 sys.php
-rw-r--r-- 1 www-data www-data  525 jul 24  2017 testt.php
-rw-r--r-- 1 www-data www-data  525 dec 17  2017 up.php
-rw-r--r-- 1 www-data www-data  443 jul 18  2017 zb.php

Ongeautoriseerde admin-accounts

Handjevol gehackte admin-accounts.

Spam-pagina's

Ach ja.

Acties

  • Alle PHP-bestanden onder files verwijderd (dit is slechts symptoombestrijding)
  • Drupalinstallatie bijgewerkt. Dat lukte niet → Nieuwe core-versie handmatig toegepast
  • Drupal Security Review-module geïnstalleerd: drush en security_review -y
  • Gehackte admin-accounts verwijderd + bijbehorende pagina's
  • SMTP-module verwijderd
  • Map PrivateFiles verwijderd
  • sudo updatedb && locate nullcrew - Niet meer gevonden
  • Ingeplanned om over een paar weken weer te controleren op besmettingen. Zou mooi zijn, als ik de site niet opnieuw hoef te creëren

Zie ook