2013年8月19日 星期一

如何檢查自己的網站是否為StealRat殭屍網路的一部分?

如何檢查自己的網站是否為StealRat殭屍網路的一部分?

StealRat的垃圾郵件殭屍網路/傀儡網路 Botnet網路,它的運作主要是利用被入侵淪陷的網站和系統。我們持續地監視著其運作,並確定了約有195,000個網域和IP地址已經淪陷。這些淪陷網站的共通點是用了有弱點的內容管理系統,像是WordPress、Joomla和Drupal

在本篇文章裡,我們會討論網站管理員可以如何檢查他們的網站是否已經淪陷,變成StealRat殭屍網路/傀儡網路 Botnet的一部分。

第一步是檢查是否有垃圾郵件發送腳本的存在,通常會用sm13e.php或sm14e.php的名稱。不過要注意的是,這些腳本可能會改變檔案名稱,所以最好還是要檢查是否有任何陌生的PHP檔案存在。

已淪陷網站內的垃圾郵件發送腳本

另一個檢查是否有惡意PHP檔案存在的方法是搜尋程式碼中是否有包含以下字串:

die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)

在Linux環境裡,你可以利用grep指令來搜尋這些字串:grep “die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321” /path/to/www/folder/。而在Windows上,它的內容會是:”die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321”

PHP 檔案內所提到的字串

這些字串是PHP檔案內「die」程式碼的一部分(例如,當某些參數不符合時)。我們在DeepEnd Research的同伴貼出了一份sm14e.php的副本。據我們所知,這是已知在外的最新版本。和sm13e.php比較起來,sm14e.php現在支援發送垃圾郵件給多個電子郵件地址。除此之外,它仍然是相同的PHP程式,接受以下的參數:

l → 電子郵件地址(發送垃圾郵件的對象)
e → 九個隨機生成的字元
m → 郵件伺服器(像是google mail)
d → 郵件範本

它的回應會根據所提供的參數還有發送垃圾郵件行為的結果而有所不同:

腳本回應會根據結果

我們建議網站管理員刪除類似上述的檔案,並更新其內容管理系統 – 特別是WordPress、Joomla和Drupal。想了解更多關於此威脅的資訊,跟此威脅還需要注意哪些組件的問題,請參考趨勢科技的報告 – 「Stealrat:深入了解一個新興的垃圾郵件發送殭屍網路」。

原文出處:How to Check if Your Website is Part of the StealRat Botnet
原文作者:Jessa De La Torre(資深威脅研究員)
轉載自《雲端運算與網路安全趨勢部落格》