Gehackte site of server
Naar navigatie springen
Naar zoeken springen
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.
Casus: Juni 2018
Aanleiding
Abuse-melding provider.
Onderzoek
Dubieuse processen → gehackte Drupal-site
ps aux
gaf aan dat er twee opvallend actieve processen waren met de naam nullcrew. Dat zag er niet goed uit. Mbv. locate nullcrew
bleek dat deze bestanden actief waren vanuit de upload-map van een Drupal-installatie.
PHP-bestanden upload-map
In die upload-map stonden meer php-bestanden (plus mappen met php-bestanden):
rw-r--r-- 1 www-data www-data 60 jun 28 10:08 1.php -rw-r--r-- 1 www-data www-data 60 jun 28 07:33 2.php -rw-r--r-- 1 www-data www-data 100K nov 4 2017 alexusMaile.php -rw-r--r-- 1 www-data www-data 697 jan 4 00:45 class-feeds.php -rw-r--r-- 1 www-data www-data 35K nov 3 2017 evolve.php -rw-r--r-- 1 www-data www-data 389 jun 27 02:45 fuck.php -rw-r--r-- 1 www-data www-data 428 nov 17 2017 images.php -rw-r--r-- 1 www-data www-data 43K mrt 31 13:27 includ.php -rw-r--r-- 1 www-data www-data 376 feb 13 03:14 info.php -rw-r--r-- 1 www-data www-data 4,4K sep 30 2017 installer.php -rw-r--r-- 1 www-data www-data 110 nov 16 2017 lilo.php -rw-r--r-- 1 www-data www-data 1,5K sep 13 2017 lyiriesh.php -rw-r--r-- 1 www-data www-data 29K mrt 5 18:20 mailer.php -rw-r--r-- 1 www-data www-data 110 nov 22 2017 nullcrew.php -rw-r--r-- 1 www-data www-data 132 feb 3 06:55 nununu.php -rw-r--r-- 1 www-data www-data 26K sep 3 2017 old_database.php -rw-r--r-- 1 www-data www-data 1,1K sep 16 2017 prefetch.php -rw-r--r-- 1 www-data www-data 34K sep 20 2017 sts.php -rw-r--r-- 1 www-data www-data 135 sep 19 2017 sysd.php -rw-r--r-- 1 www-data www-data 134 mei 19 14:41 sys.php -rw-r--r-- 1 www-data www-data 525 jul 24 2017 testt.php -rw-r--r-- 1 www-data www-data 525 dec 17 2017 up.php -rw-r--r-- 1 www-data www-data 443 jul 18 2017 zb.php
Ongeautoriseerde admin-accounts
Handjevol gehackte admin-accounts.
Spam-pagina's
Ach ja.
Acties
- Alle PHP-bestanden onder files verwijderd (dit is slechts symptoombestrijding)
- Drupalinstallatie bijgewerkt. Dat lukte niet → Nieuwe core-versie handmatig toegepast
- Drupal Security Review-module geïnstalleerd:
drush en security_review -y
- Gehackte admin-accounts verwijderd + bijbehorende pagina's
- SMTP-module verwijderd
- Map PrivateFiles verwijderd
sudo updatedb && locate nullcrew
- Niet meer gevonden- Ingeplanned om over een paar weken weer te controleren op besmettingen. Zou mooi zijn, als ik de site niet opnieuw hoef te creëren