几天前,我的一个虚拟主机客户的 FTP 登录受到了威胁,攻击者修改了他的 index.php 文件以包含一些额外的代码,此后大约 12,000 个其他机器人一直试图通过 POST 操作访问它
我在 PHP 方面还行,但不是天才,但据我所知,它获取 POST 中包含的(加密的)数据,将其与主机上遗留的另一个文件的内容一起解密,然后发送一个响应打包到 HTTP 503 标头中。
从行为中,我感觉这个系统被设置为僵尸网络的控制主机。
我已经设法保存了一份 PHP 代码的副本以及一个在我已经停用该站点后试图发布的机器人的数据包捕获......但是现在我该怎么处理它呢?我没有时间或专业知识来自己进一步分析该死的东西,我应该将批次转发给哪些组?
如果您希望出于业务原因对其进行分析,那么您需要找到一位熟练的法医事件响应顾问(请原谅行话:“日志分析人员”)。这些通常要花钱,很多。
请记住,尽管大多数僵尸网络部署都不是针对的,而且分布非常广泛。可能没有太多要了解的知识,它还不为人所知,并且会影响其他所有人。处理高级威胁的团体不会对这类事情非常感兴趣,但您可能会遇到 AV 供应商。赛门铁克、Sophos 等有时喜欢整理此类数据以获取其光鲜的白皮书。
最有趣的日志将是僵尸网络实际利用系统时可疑流量开始之前的日志,因为这将允许您对攻击进行事后分析。但是,我将使用我惊人的通灵能力来断言某些东西没有得到适当的修补,这就是机器人进入的方式。
附录:看在上帝的份上,不要只将您的系统(或系统上的敏感数据)的访问权限授予该站点上的某个随机人员。
联系FBI或任何对您居住的此类计算机犯罪有管辖权的人。在您的系统上所做的是非常严重的犯罪,在许多地方,故意不报告犯罪本身就是犯罪。您最不想看到的就是让无辜的受害者(您自己和您托管的客户)承担法律责任。
您可能想问自己的一件事是:“您在这里的动机是什么?”
例如 1. 弄清楚事件是如何发生的,以避免重蹈覆辙。2. 出于责任原因保护自己 3. 惩罚坏人 4. 通过了解漏洞等帮助安全研究人员。
我怀疑它是#1,因为您说登录密码似乎在客户端受到了损害。#3 似乎非常遥远。#4似乎也不太可能,除非您真的偶然发现了一些非常新颖的东西。
所以,我会说提交报告。当地警察部门通常会提交一份,尽管他们可能缺乏调查技能。确保你记录的东西留下了文书工作的痕迹
首先是将其报告给您组织中的事件响应团队或相关安全团队。
其次,您可以检查 Web 服务器日志。这将为您提供有关谁在访问它以及所有 Web 请求的内容的大量线索(显示 url 路径)。
如果您想捕获实时数据,请使用数据包分析器/嗅探器实用程序(例如 tcpdump 或 ethereal)并侦听相关接口。之后使用过滤器查看源/目标,它应该告诉你远程恶意服务器和你的服务器之间发生的所有通信。