Malware IptabLes / IptabLex trojan trên VPS linux

Thảo luận trong 'Bảo mật' bắt đầu bởi Manhhung, 26 - 5 - 2014.

  1. Manhhung
    Offline

    Manhhung Mấy thánh cẩn thận Staff

    Tham gia:
    19 - 9 - 2011
    Bài viết:
    4,292
    Đã được thích:
    4,602
    Điểm thành tích:
    483
    Chào các bạn hôm nay mình phát hiện ra bị dính con trojan IptabLes / IptabLex này trên một VPS linux chạy centos 6.X .
    Đúng là công việc bảo mật cực kỳ quan trọng và không bao giờ thừa

    Tuy đã vô hiệu hóa được nó rồi nhưng mình vẫn đi tìm hiểu về con này và có một chút thông tin chia sẻ cùng anh em để nếu ai có nguy cơ dính và đang dính có thể vô hiệu hóa nó và phòng tránh .

    Còn này khá là mới và chưa có nhiều chuyên gia bảo mật phân tích .
    Dấu hiệu khi mình bị là tự nhiên mất kết nối với SSH , và hoàn toàn như VPS bị mất mạng , mình phải vào giao diện điển khiển của VPS để tạm thời ngắt kết nối mạng để xử lý . Mục địch của trojan là DDoS attack , mình thấy nó liên tục gửi các gói tin
    đến một IP đến từ trung quốc IP 59.63.167.168 cổng 1001
    Vì VPS đó của mình không chạy trực tiếp website nào nhưng cẩn thận mình đã tắt hết các VPS còn lại để kiểm tra xem các VPS khác có an toàn không , nhưng sau khi tìm kiếm một hồi trên google mình đã tìm thấy một số người cũng bị con này .
    Vi dụ ở đây
    Mã:
    http://www.ebel-computing.de/JSPWiki/Wiki.jsp?page=VServer Trojan
    Mã:
    http://tinsang.net/news/2678
    Kiểm tra thêm thì thấy nguồn gốc của con này bên china
    Mã:
    http://bbs.51cto.com/viewthread.php?tid=1091316
    Mã:
    http://bbs.chinaunix.net/thread-4118890-1-1.html
    Qua tìm hiểu mình thấy các nạn nhân khi bị đa số nói là bị dính qua bug của tomcat , hoặc Struts apache , nhưng trường hợp của mình thì mình đâu có dùng webserver tomcat , nhưng theo phóng đoán của mình thì có thể đây là một bug qua các ứng dụng chạy với java ? vì tomcat hay Struts chạy trên nền java , VPS này cũng là VPS duy nhất có chạy java vì mình dùng VPS đó để chạy nguyên cái ứng dụng tìm kiếm Elasticsearch
    ( chạy add on Search của xenforo ) , có thể trường hợp của mình bug ở đó chăng ?
    Hoặc cũng có thể theo phỏng đoán của mình là do bị bug ở scan ssh vì vps đó mình chủ quan chưa change port ssh và bảo mật cho VPS đó .

    Cách check và ngăn chặn trojan này các bạn có thể đọc ở đây
    Mã:
    http://www.ebel-computing.de/JSPWiki/Wiki.jsp?page=VServer Trojan
    sẽ thấy 2 file thực thi rõ nhất là .IptabLes.IptabLex
    vị trí
    boot/.IptabLes
    /boot/.IptabLex
    Ngoài ra còn có các file nghi vấn như
    mylisthb.pid
    .mylisthbS.pid
    .mylisthbSx.pid
    .mylisthbx.pid
    Đây là ảnh mình chụp lại khi vào giao diện console
    IptabLex-trojan

    Mẫu 2 file .IptabLes và .IptabLex mình đính kềm bên dưới cho ai có thể dịch ngược được để xem nó làm những gì

    Chắc chắn mình nghĩ ở đây cũng sẽ có bạn đã bị con này và anh em nào từng gặp thì chia sẻ thêm thông tin nhé .

    Các file đính kèm:

    Last edited: 26 - 5 - 2014
    TND, Mai2yeuem, Leech and 3 others like this.

  2. jojolonelycat
    Offline

    jojolonelycat Thành viên

    Tham gia:
    3 - 7 - 2012
    Bài viết:
    2,620
    Đã được thích:
    471
    Điểm thành tích:
    143
    trước e inbox a ko thấy trả lời tưởng là ko bị
    (Opera Mini)
  3. Manhhung
    Offline

    Manhhung Mấy thánh cẩn thận Staff

    Tham gia:
    19 - 9 - 2011
    Bài viết:
    4,292
    Đã được thích:
    4,602
    Điểm thành tích:
    483
    Thì mới bị hôm nay mà . lúc đó đâu có bị :)
  4. ki uc theo mua
    Offline

    ki uc theo mua Thành viên

    Tham gia:
    19 - 12 - 2013
    Bài viết:
    816
    Đã được thích:
    283
    Điểm thành tích:
    113
    :D chả hiểu mô tê gì, lúc nào có vps rồi hiểu sau =))
    (Opera Mobi)
  5. vitti
    Online

    vitti Thích Thì Chiều

    Tham gia:
    3 - 8 - 2011
    Bài viết:
    3,705
    Đã được thích:
    504
    Điểm thành tích:
    173
    em có quen 1 anh có dùng cách này để "DDOS", anh ấy gọi là DDOS vì nó làm cho tất cả những thứ có liên quan đến địa chỉ ip bị mất kết nối với "thế giới bên ngoài", em nghĩ nó chính là cái này, thậm chí anh ấy còn cho sập nguyên 1 tiệm net, em ko tin nên có ra net ngồi rồi thách anh ấy thử, anh ấy bảo cho quán mất kết nối 5ph -_- vừa dứt lời thì một lũ chơi LOL hét lên chửi chủ quán -_- vì mất mạng -_-..Quá là khủng khiếp!!! Không biết có phải nó ko. Anh ấy bảo hầu hết website VN chưa ai chống đc cái này, bên nước ngoài có vài vài nơi biết cách chống thôi -_- và anh ấy có nói thêm là apache chống được chứ nginx thì not effect :p
    mrvui thích bài này.
  6. vitti
    Online

    vitti Thích Thì Chiều

    Tham gia:
    3 - 8 - 2011
    Bài viết:
    3,705
    Đã được thích:
    504
    Điểm thành tích:
    173
    Cái link bài xem cách chống sao vào chả có content gì thế anh? có mỗi cái sidebar bên trái toàn category gì không thì biết click cái nào
  7. oanhvno
    Offline

    oanhvno Thành viên

    Tham gia:
    10 - 8 - 2013
    Bài viết:
    2,312
    Đã được thích:
    317
    Điểm thành tích:
    143
    VPS mình không cài JAVA, cũng may.
    mà có lẽ tên miền .vn bây giờ mới bị soi nhiều thôi
  8. Manhhung
    Offline

    Manhhung Mấy thánh cẩn thận Staff

    Tham gia:
    19 - 9 - 2011
    Bài viết:
    4,292
    Đã được thích:
    4,602
    Điểm thành tích:
    483
    Em copy url lại và enter nhé
  9. Manhhung
    Offline

    Manhhung Mấy thánh cẩn thận Staff

    Tham gia:
    19 - 9 - 2011
    Bài viết:
    4,292
    Đã được thích:
    4,602
    Điểm thành tích:
    483
    Cũng không hẳn vậy đâu , đấy là anh đoán cái java thôi chứ chưa chắc vì chưa có chuyên gia bảo mật nào phân tích kỹ .
  10. oanhvno
    Offline

    oanhvno Thành viên

    Tham gia:
    10 - 8 - 2013
    Bài viết:
    2,312
    Đã được thích:
    317
    Điểm thành tích:
    143
    mà em không hiểu VPS mình có chung chạ với ai đâu mà sao nó cài đặt virus vào được nhỉ?

Chia sẻ trang này