Identificazione del tipo di attacco del sito Web (Meuhy.php)

1

Abbiamo alcuni siti che ospitano su un server condiviso di Media Temple (MT). Questa mattina, abbiamo notato che alcuni dei nostri siti web erano in calo. Dopo un'indagine, ci siamo resi conto che erano stati compromessi. La struttura delle directory per MT è la seguente: domini > DOMAIN-NAME > html (aka root del sito Web).

A livello di NOME DOMINIO, abbiamo notato un file denominato Meuhy.php . Il supporto di MT ha detto che sembrava una specie di gestore di pacchetti maligni. Ho fatto una ricerca su Google per quel file, ma non ho trovato nulla che aiutasse a identificare la sua fonte. Tuttavia, ho notato che è stato iniettato su altri siti web: link

Alla web root, abbiamo scoperto che il codice di WordPress era stato iniettato nei file index.php , tuttavia, tutti i nostri siti tranne uno sono siti Drupal. Abbiamo anche scoperto che sono stati generati una serie di file .xml. Contenevano ciò che sembrava essere una serie di chiamate al server. Abbiamo controllato l'utilizzo della GPU e abbiamo notato che il problema è che questi file sono stati generati. Il nostro Google Analytics mostra anche che il traffico è aumentato in modo anomalo durante questo periodo.

La mia domanda principale è, qualcuno sa che tipo di attacco è questo, e dovremmo preoccuparci che i nostri database possano essere compromessi?

    
posta Kellen 18.05.2018 - 03:41
fonte

2 risposte

0

Abbiamo scoperto che Meuhy.php consentiva agli aggressori di modificare i permessi di qualsiasi directory e di caricare file. Sembrerebbe che il file stesso possa essere utilizzato in molti modi diversi. Nel nostro caso, sembrerebbe che gli aggressori volessero utilizzare i nostri siti Web per offrire spam.

Abbiamo scoperto che l'autore dell'attacco si era aggiunto come proprietario nel nostro account Google Search Console aggiungendo il proprio documento .html di verifica Google nelle nostre radici web. Hanno quindi richiesto che due dei nostri siti fossero indicizzati. I file .xml che sono stati caricati sono essenzialmente sitemap contenenti 40.000 URL ciascuno. In totale, ogni sito Web ha pubblicato 200.000 URL in cinque file .xml. Utilizzando le Google Search Search Analytics, abbiamo riscontrato che la maggior parte dei collegamenti serviti erano giapponesi.

Ho trovato questo articolo che spiega questo tipo di attacco in modo più dettagliato. Spero che il meglio per chiunque altro sia stato effettuato: link

    
risposta data 07.06.2018 - 14:45
fonte
1

Ho trovato il file Meuhy.php su 10 siti WordPress. Ho anche trovato questi file aggiuntivi aggiunti ai siti ospitati da GoDaddy:

suspended..php wp_rmder.php test.php

Quanto sopra archivia tutte le date dell'ultima modifica del 5 maggio o del 14 maggio 2018.

index.php ha inserito il codice PHP, l'ultima modificata il 19 maggio e un file HTML Google per la verifica sulla console di ricerca di Google è stato aggiunto il 19 maggio.

Sono stato avvisato per la prima volta perché un nuovo proprietario del nome di dominio è stato aggiunto il 19 maggio. Ho notato che 5 sitemap XML sono stati aggiunti quel giorno, ciascuno con circa 40.000 URL.

    
risposta data 21.05.2018 - 13:10
fonte

Leggi altre domande sui tag