Backdoor.Linux.Bew.a et Client BitCoin

Voici un petit billet concernant une infection trouvée sur des serveurs que j’administre depuis peu.
Tout commence par une alerte par mail de Munin fraîchement mis en place. Munin est un grapher rddtools qui envoie des alertes lorsque des seuils sont dépassés, en l’occurrence ici, c’était la CPU.
Ce qui est super pratique.

Les graphs :

hack_serveurs hack_serveurs2 du coup, un petit tour sur le serveur et je lance top et là le drame, je vois un processus bfgminer, ce qui ressemble à un client Bitcoin au vu du nom.

hack_serveurs3 Je jète un coup d’oeil sur les processus et là, je vois un .bbb – ce qui est pas bon.
Les fichiers commençant par . sous Linux sont cachés.
Ce dernier est executé en root.

hack_serveurs4

Du coup je lance la commande

find / -regextype egrep -regex ".*\/\.[a-z0-9_.-]+$" -exec file {} \;|grep executable

afin de lister les fichiers cachés suceptibles d’être des executables.
Bingo y a du monde :

/usr/local/psa/tmp/…/.tar: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
/usr/local/psa/tmp/…/.bbb: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
/usr/local/psa/tmp/…/.ew3: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, corrupted section header size
/usr/local/psa/tmp/…/.true: ELF 64-bit LSB executable, AMD x86-64, version 1 (SYSV), for GNU/Linux 2.6.9, dynamically linked (uses shared libs), stripped

Une petite récupération des fichiers et scan sur VirusTotal, on trouve un certainBackdoor.Linux.Bew.a dont les détections sont assez moisies :
https://www.virustotal.com/fr/file/b208643dbec66168ee66d8b7d8210a2156a2444e3bc9885be9ae07633a50cbf5/analysis/1395411155/
https://www.virustotal.com/fr/file/f4308d69578ffbe48216e99adfa1ac8c7fe357ac86a602c655e3241f29687323/analysis/1395411156/
https://www.virustotal.com/fr/file/7498e90c019f783c9e05abd33de746e78fb449f36d6a741d3c52502c0a45f815/analysis/1395411139/
https://www.virustotal.com/fr/file/7498e90c019f783c9e05abd33de746e78fb449f36d6a741d3c52502c0a45f815/analysis/1395411139/

Certains fichiers datent de Juin 2013.

On trouve aussi un crond lancé par Apache.

hack_serveurs5

Le processus du bitcoin est en defunct, on ne peux pas le killer directement.
Il faut tuer le processus parent (ici httpd).

hack_serveurs4 hack_serveurs8

A noter que ps ne montre pas tout, du moins il montre les noms de processus avec les noms souhaités, du coup il est possible d’utiliser des noms de processus déjà existants.
pstree permet de voir cela :

hacklinux_pstree

Un petit egrep -r « base64|eval|deflate|REQUEST » *php et on trouve quelques Backdoor PHP sur les sites :hack_serveurs6 hack_serveurs7

Il semblerait que le malware ait été droppé sur une vulnérabilité Parallels Plesk Panel
A noter que les serveurs (une quinzaine) n’avaient pas de firewall, ça aide pas non plus.

Quand on connait c’est relativement voyant, surtout en liant les processus la commande find aide pas mal.
On voit ici toute l’importance d’un minimum d’outils de monitoring qui peuvent prévenir de la présense d’un client Bitcoin quand ce dernier bourine un peu trop.

 EDIT –

Un petit edit avec une variante, des erreurs cpio: open lors de l’utilisation de yum.

hack_linux_permissions Cela vient du fait que l’on ne peux pas écrire dans certains dossiers notamment /usr/bin et /sbin
Les pirates ont ajoutés attributs s (secure deletion) i (immuable) a (append only) dans les permissions étendues.

La commande lsattr permet de lister les attributs et la commande chattr de les modifier, il faut enlever tous les attributs étendues d’un coup : chattr -R -i -a -s 
hack_linux_permissions2

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 55 times, 1 visits today)

2 thoughts on “Backdoor.Linux.Bew.a et Client BitCoin

  1. merci pour ce témoignage, malware tres bien caché
    /!\ sur l’image 7 tu n’as pas masqué le nom de la machine

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *