Điều Tra Kỹ Thuật Hacking Với Wordpress

Ngày hôm nay chúng tôi có nhận được một lời đề nghị từ một khách hàng về việc server của họ bị cảnh báo đang đi scan bên dịch vụ khác. cụ thể thông báo như hình bên dưới.

Từ thông báo trên chúng tôi thấy máy chủ của khách hàng này đang bị cảnh báo về việc đang cố gắng đăng nhập sai quá nhiều lần trên một máy chủ khác đang chạy wordpress. chúng tôi có nhìn log của họ gửi thì ở đây có một phần hết sức quan trọng là Agent của truy vấn này. Ở đây hacker đang chạy python để tiến hành khai thác.

Từ thông tin cảnh báo nói trên chúng tôi đặt ra một số hướng bên ngoài như sau:

• Hacker bằng các lỗ hổng exploit nào đó đã đẩy được file lên server có thể là sql injection
• Hacker đoán được mật khẩu củ user và tiến hành vào wp-admin để tiến hành thao tác đầy file lên.

Để củng cố các giả thiết chúng tôi tiến hành login vào server và tiến hành đọc log. sau khi đọc log chúng tôi khẳng định trường hợp 2 hacker đã đoán được mật khẩu của user qua bruteforce vì chúng tôi thấy server có nghi nhận tới tận hơn 2 triệu lượt truy vấn qua xmlrpc

vậy hướng đi đã có bây giờ chúng ta cần xác định hacker chèn shell lên kiểu gì. Đối với wordpress dựa trên kinh nghiệm của chúng tôi thì shell sẽ chủ yếu nằm ở plugin hoặc theme kiểm tra nhanh chúng tôi thấy plugin có vấn đề

Lưu ý: mã độc ban đầu ở đây nhưng sau khi được đẩy lên sẽ không ở đây nữa nên cần phải mò mẫm trong bóng đêm để tìm shell các bạn không nên chủ quan sau khi xóa plugin độc hại nghĩ là đã song, với kinh nghiệm của chúng tôi 90% các mã độc sẽ được gài ở các vị trí khác trong các thư mục của wordpress khác mà không phải theme hoặc plugin. ngoài ra hacker có thể chèn các plugin file Manage để tiến hành edit file nên cách này vô cùng nguy hiểm và cực kỳ khó phát hiện.

Chúng tôi bắt đầu đọc các file trong này đầu tiên file aa.php

Từ code này bạn có thể thấy file này thực chất là tạo 1 tài khoản admin để làm tài khoản cửa hậu cho các lần đăng nhập sau

Chúng tôi thử tìm trên mạng với mã hash này thì thấy mật khẩu khá đơn giản

Chúng ta sẽ tìm hiểu thêm file tiếp theo có vẻ bình thường là wp.php chúng tôi thấy đây là 1 file được đẩy lên với mục đích xóa toàn bộ dáu vết

Ngoài ra nó cũng được dùng để làm việc tạo các biến môi trường để chạy shell.

Và cái chúng tôi thấy trong code này đây có thể chính là nguyên nhân (file chạy) mà khách hàng nhận được cảnh báo

File này đã tạo một môi trường để chạy Python bằng cách gọi vào 1 file sym.py

Sau đó file này có tự tìm kiếm các thông tin cấu hình dạng mặc định

và nó còn mở một backconnect trên server này:

file Login.php thực chất là 1 file đúng chuẩn của Login Wall nên không cần quan tâm nó.

Một số file còn lại là mã hóa chúng tôi đã giải mã và không nghi nhận thêm các cách tấn công leo thang nào đặc biệt khác.

Sau khi chúng tôi xử lý chặn các truy vấn qua xmlrpc và cho capcha vào phần đăng nhập thì chúng tôi theo dõi web nhận thấy hacker chuyển qua scan LFI trên site của chúng tôi.

việc chặn các hành động scan này cũng khá đơn giản bạn có thể dùng cloudflare để chặn khá hiệu quả.

Kết luận từ một số thông tin thu thập được chúng tôi đã có thể khẳng định được lỗi xuất phát từ đâu và mã độc ở đâu để xử lý triệt để cho khách hàng.

Việc tìm được mã độc và cách thức tấn công là vô cung quan trọng bạn phải nắm được đầy đủ các thông tin nắm được các report có thể có để tiến hành xử lý triệt để nguồn gốc tấn công cũng như xóa mã độc kịp thời khi bị tấn công.