金曜日, 12月 14, 2012

#OCJP-082: 沢山日本のCMSサイトが「ITSOKNOPROBLEMOBRO」のDDoSツールに感染されました!原因:CMSの脆弱性

下記のCMSサイトのホスト名↓
kato.plala.jp                         
www.group1.jp              
android.turbosystems.co.jp 
suzaka.biz                 
ryokun.nows.jp             
kiwara.sub.jp              
senshu-micronics.co.jp     
faq.iliics.com             
www.primetimefuture.com    
ltd-kobayashi.sakura.ne.jp 
下記のIPとCN(国)↓
223.219.33.252   | JP 
223.219.33.252   | JP 
202.218.164.174  | JP 
49.212.191.134   | JP 
59.106.157.194   | JP 
59.106.157.197   | JP 
210.172.144.21   | JP 
114.179.231.28   | JP 
202.122.143.70   | JP 
202.172.28.141   | JP 
219.94.128.168   | JP 
ITSOKNOPROBLEMOBRO (It's OK No Problemo Bro)のDDoSツールのスクリプトを発見!
リファレンス1:“itsoknoproblembro” DDoS Toolkit Was Used in Recent Debilitating Cyber Attacks
リファレンス2:VRT/Snortサイトの警告
リファレンス3:RADWAREセキュリティサイトの警告

海外のサイトには本件の感染も流行ったが、殆ど手続きされましたので、
現在は少ししか残っていません、証拠はurlqueryの結果↓
http://urlquery.net/search.php?q=confgic.php&type=string&start=2012-12-04&end=2012-12-19&max=50

マルウェア/DDoSツールの説明↓
pastebin(テキストID:5WMqPsNr)にマルウェアのコードを発見しましたので、
下記のsナップショットと説明となります↓
(※クリックで拡大)


日本国内サイトの感染されたURLパス↓
kato.plala.jp/joomla2/administrator/templates/bluestork/inedx.php
kato.plala.jp/joomla2/administrator/templates/bluestork/confgic.php
www.group1.jp/partners/administrator/templates/bluestork/confgic.php
android.turbosystems.co.jp/administrator/templates/bluestork/confgic.php
suzaka.biz/administrator/templates/bluestork/confgic.php
ryokun.nows.jp/administrator/templates/bluestork/confgic.php
kiwara.sub.jp/hougen/administrator/templates/bluestork/confgic.php
senshu-micronics.co.jp/administrator/templates/bluestork/confgic.php
faq.iliics.com/confgic.php
www.primetimefuture.com/templates/atomic/confgic.php
ltd-kobayashi.sakura.ne.jp/administrator/templates/bluestork/confgic.php
証拠↓
上記のURLを直接にアクセスするとにせ「404」メッセージが出ます、例↓
$ curl hxxp://kato.plala.jp/joomla2/administrator/templates/bluestork/inedx.php
<!DOCTYPE HTML PUBLIC"-//IETF//DTDHTML 2.0//EN"><html><head><title>404 Not Found
</title></head><body><h1>Not Found</h1><p>The requested URL /joomla2/administrator/templates/bluestork/inedx.php was not found on this server </p>
<p>Additionally, a 404 Not Foun derror was encountered while trying to use an Error Document to handle the request</p></body ></html >
それと↓
$ curl hxxp://www.group1.jp/partners/administrator/templates/bluestork/confgic.php
<!DOCTYPE HTML PUBLIC"-//IETF//DTDHTML 2.0//EN"><html><head><title>404 Not Found
</title></head><body><h1>Not Found</h1><p>The requested URL /partners/administrator/templates/bluestork/confgic.php was not found on this server </p>
<p>Additionally, a 404 Not Foun derror was encountered while trying to use an Error Document to handle the request</p></body ></html >
:
など…
上記の残りページは全て同じ反応が出ます…

…が… 「?action=status」コマンドを最後のURLに入れると「That is good」又は
「itsoknoproblembro」の単語が出てきました。証拠は↓
$ curl hxxp://kato.plala.jp/joomla2/administrator/templates/bluestork/inedx.php?action=status
That is good

$ curl hxxp://kato.plala.jp/joomla2/administrator/templates/bluestork/confgic.php?action=status
That is good

curl hxxp://www.group1.jp/partners/administrator/templates/bluestork/confgic.php?action=status
That is good

$ curl hxxp://android.turbosystems.co.jp/administrator/templates/bluestork/confgic.php?action=status
That is good //←対応済み

$ curl hxxp://suzaka.biz/administrator/templates/bluestork/confgic.php?action=status
That is good

$ curl hxxp://ryokun.nows.jp/administrator/templates/bluestork/confgic.php?action=status
That is good

]$ curl hxxp://kiwara.sub.jp/hougen/administrator/templates/bluestork/confgic.php?action=status
That is good

$ curl hxxp://senshu-micronics.co.jp/administrator/templates/bluestork/confgic.php?action=status
That is good

$ curl hxxp://faq.iliics.com/confgic.php?action=status
That is good

$ curl hxxp://www.primetimefuture.com/templates/atomic/confgic.php?action=status
That is good

$ curl hxxp://ltd-kobayashi.sakura.ne.jp/administrator/templates/bluestork/confgic.php?action=status
That is good //←対応済み

ウイルス検知率調査↓
ウイルストータルのスキャン結果は下記となります。
SHA1:           fb74239f1fdfa33a902854d3e14622e71d805245
MD5:            9ebab9f37f2b17529ccbcdf9209891be
File size:      3.2 KB ( 3327 bytes )
File name:      PHP_DDoS.html / malcode-NOPROBLEMO-BRO.php
File type:      PHP
Tags:           php
Detection ratio: 9 / 44
URL:            【クリック】
マルウェア名前↓
GData                    : PHP:Agent-GZ
Norman                   : Agent.KG
McAfee-GW-Edition        : PHP/Prob
TrendMicro-HouseCall     : TROJ_GEN.F47V1005
Avast                    : PHP:Agent-GZ [Trj]
ClamAV                   : PHP.Trojan.itsoknoproblembro
ESET-NOD32               : PHP/Obfuscated.F
McAfee                   : PHP/Prob
Ikarus                   : PHP.Agent
Fortinet                 : W32/PhpDos.A!tr
Sophos                   : Troj/PhpDos-A
AhnLab-V3                : PHP/Prob
↑上記は”パスワード漏れた”の問題では無く、原因は100%脆弱性が持っているJoomla!と
Wordpressサイトです。何故か100%が分かるかというとCNCは脆弱性があるサイトを
調べたとの証拠があります。

なので、上記のハッキングされたファイルを削除して、脆弱性を直して下さい。

1 件のコメント:

  1. 下記のサイトから本件に感染されましたページが削除してくれました↓有難う御座います。残りのページが未だアップしております…早く削除して下さい。

    $ curl "http://ltd-kobayashi.sakura.ne.jp/administrator/templates/bluestork/confgic.php?action=status"
    Access denied.

    $ myfetch -d "http://android.turbosystems.co.jp/administrator/templates/bluestork/confgic.php?action=status"

    500 Internal Server Error

    返信削除