Access Point

0
VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)

Вирус: вредоносный редирект на домены в зоне .in

admin 27.10.2012

Что делать если Яндекс обнаружил на вашем сайте вирус Troj/JSRedir-DM, но вы не можете его найти.

Если вы не имеете root доступа к серверу то обратитесь к вашему хостеру. В обращении можете указать ссылку на эту тему.

 

Деактивировать вирус можно обновлением apache либо nginx, в зависимости от того есть nginx или нету.
Перед обновлением нужно проверить правильность репозиториев с которых будет загружаться пакет.
Вирус постоянно изменяется но принцип работы и зараженные файлы одни и те же.
Первое найденное мной упоминание о вирусе, датировано октябрем 2010 года.

Заражение.

Предполагается что первоначальное заражение происходит через эксплуатацию публичных zero уязвимостей стороннего ПО, это подтверждено многими исследованиями, ссылки на них в конце статьи.
Повторные заражения и модификации файлов происходят через ssh сессии. После попадания на сервер, вирус активируется на 3 дня а далее находится в неактивном состоянии, в течении 1 месяца. Все стандартные логи сервера чистятся.
Заражаются бинарные файлы nginx или apache, если нету nginx, так же заражается \ подменяется модуль логов nginx или apache.
Заражение происходит только *nix и BSD серверов.
Дополнительно
На всех обследуемых серверах в файлах сайтов были вирусы, определяемые известными антивирусами, в принципе они могут и не относится к проблеме.  Вариант с вредоносной программой на устройстве входа или где то по дороге тоже вполне возможен.

Работа вируса.

Работа вируса глазами пользователя

Детально описывать не буду, это всё хорошо описано Яндексом по этой ссылке — http://safesearch.ya.ru/replies.xml?item_no=665
Если быть кратким то пользователя, при соблюдении определенных условий, обращающегося к зараженному веб-серверу по ссылке из поисковика соц.сети пересылает на вредоносный домен, который в свою очередь пересылает пользователя на страницу с вирусом. Файлы сайтов к которым изначально обращается пользователь при этом не запрашиваются и могут вообще отсутствовать на сервере.

Работа вируса глазами системного администратора

Коротко: Вирус в веб-сервере обрабатывает 2 вида запросов, GET и POST, GET запрос приходит от клиента, обрабатывается и пересылает либо не пересылает клиента. POST запрос, служит для проверки работоспособности вируса на зараженном сервере и удаленной модификации кода вируса.
Подробно.
Как происходит редирект и по какому принципу фильтруются пользователи
Для того чтобы клиент был перенаправлен он должен
Иметь OS Windows XP
Браузер Firefox
Клиент должен прийти по любой ссылке на сайт, совсем не обязательно чтобы это были поисковики, важно само наличие.
Запрос на 80 порт
Клиент посылает на сервер GET запрос следующего вида
GET /9638/ HTTP/1.1
Host: sitename.ru
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://go.mail.ru/search?mailru=1&q=%D0%BA%D0%B0%D0%BA%D0%B8%D0%B5+%D1%81%D1%82%D0%B8%D1%85%D0%B8+%D1%83%D1%87%D0%B8%D1%82%D1%8C+%D1%81+%D1%80%D0%B5%D0%B1%D0%B5%D0%BD%D0%BA%D0%BE%D0%BC+3+%D0%B3%D0%BE%D0%B4%D0%B0&us=20

 

В ответ он получает

HTTP/1.1 302 Moved Temporarily
Server: nginx/0.7.67
Date: Sun, 01 Jul 2012 19:44:25 GMT
Content-Type: text/html
Content-Length: 161
Connection: close
Location: http://zyogyz.in/index.php?time=070115171205359517&src=139&surl=sitename.ru&sport=80&key=621E8741&suri=/9118/

<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>nginx/0.7.67</center>
</body>
</html>
Как происходит мониторинг и управление вирусом.
Всё управление вирусом осуществляется через запрос к файлу favicon.iko, которого в явном виде не существует, просто запросы к этому файлу обрабатываются вирусом.
Мониторинг работы и первоначальная настройка вируса осуществляется с одних и тех же IP адресов, при этом  поля «Cookie» и пост запрос к зараженному серверу одинаковы для одного IP на всех зараженных серверах, изменения происходит только при передачи новых данных на сервер. Мониторинг работы производится раз в 10 и раз в 15 минут, при этом ваш сервер пересылает запросщика на Google.
POST /favicon.iko?e46179 HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101 Firefox/11.0
Host: 80.93.56.171
Pragma: no-cache
Accept: */*
Referer: http://www.myspace.com/319531119/classic
Cookie: SECID=d65479
Content-Length: 0
Content-Type: application/x-www-form-urlencoded
Connection: Keep-Alive

Если вирус активен на данном сервере то на этот запрос придет ответ со статусом 302 

HTTP/1.1 302 Found
Date: Tue, 17 Jul 2012 11:07:42 GMT
Server: Apache/2.2.17 (Unix) mod_ssl/2.2.17 OpenSSL/0.9.8q DAV/2 PHP/5.2.17 SVN/1.7.5
Location: http://google.com/
ETag: 6e8ca-5fa-3b4d2ad9; 00-4d364dcf-1141-1-0-3-11-0-87b-0-ca-2-0-39a
Content-Length: 202
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://google.com/">here</a>.</p>
</body></html>
Управление и изменение вируса происходит через куки, по умолчанию смена вредоносного домена происходит раз в день в 10.15 — 10.30 часов по МСК.
Запрос на изменение
POST /favicon.iko?18b25c HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101 Firefox/11.0
Host: 80.93.56.171
Pragma: no-cache
Accept: */*
Referer: http://www.myspace.com/319531119/classic
Cookie: SECID=7eb863f665b67aeb64b36db220f726e07bac21b725ea2fa97aea38f53ded32bf2cad26b224bc22b339e66bea63b261eb61b263e363b16eea60b463ef72f024b969b264eb2889
Content-Length: 0
Content-Type: application/x-www-form-urlencoded
Connection: Keep-Alive
Ответ
HTTP/1.1 302 Found
Date: Tue, 17 Jul 2012 15:14:48 GMT
Server: Apache/2.2.17 (Unix) mod_ssl/2.2.17 OpenSSL/0.9.8q DAV/2 PHP/5.2.17 SVN/1.7.5
Location: http://google.com/
ETag: 6e8ca-5fa-3b4d2ad9; 00-4d364dcf-1141-1-0-3-11-0-87b-0-ca-2-0-39a
Content-Length: 202
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://google.com/">here</a>.</p>
</body></html>

Итого

Точно не известно какие именно уязвимости используются для заражения web серверов, и как происходит заражение. Скорее всего заражение происходит не по одной уязвимости, а используется сканер уязвимостей и целый набор эксплойтов для разнообразных уязвимостей. Так как вирус уже существует 4 года, и каких то совпадений не выявлено (последнее обращение по удалению было в 2014 году.).
Yet another malware story — упоминают этот вирус http://events.yandex.ru/talks/327/
ESET о вирусе — http://habrahabr.ru/company/eset/blog/178197/
После заражения лучше сменить сервер, но если это по каким то причинам это не возможно, необходимо сменить все пароли и обновить все возможное ПО.

Leave a Comment

Login to your account

Can't remember your Password ?

Register for this site!