Hari ini saya melihat tingkat permintaan tinggi yang tidak biasa pada server web Apache dan juga lalu lintas jaringan masuk yang cukup tinggi. Setelah memeriksa halaman mod_status Apache, saya menemukan URL yang menyinggung berasal dari path www.server.com/www/wp-includes/js/tinymce/plugins/wpautoresize/
. Dan memang saya telah menemukan beberapa skrip PHP yang diretas (dikaburkan) di sana.
Juga perhatikan proses aneh yang dilakukan oleh pengguna data-www:
www-data 7300 10.8 0.1 2122900 18768 ? Ssl Jul11 121:47 /usr/bin/host
Memeriksa /proc/7300/cmdline
mengungkapkan bahwa memang ini adalah /usr/bin/host
biner asli . netstat -anp
menunjukkan itu memiliki banyak koneksi HTTP terbuka, jadi entah bagaimana biner itu disalahgunakan. debsums
mengkonfirmasi checksum biner menjadi OK. Karena proses dijalankan di bawah pengguna data-www, saya tidak punya alasan untuk percaya bahwa server itu sendiri telah dikompromikan.
Bagaimana biner itu disalahgunakan?
EDIT: Pertanyaan "bagaimana menangani server yang dikompromikan" yang tidak luas ini. Alih-alih sebuah pertanyaan (dan sudah merupakan jawaban) tentang satu jenis pelecehan spesifik bagaimana hal itu dilakukan secara teknis, karena kasus khusus ini cukup kreatif dalam cara kerjanya. Tampaknya ini dalam keadaan liar selama beberapa tahun sekarang (utas lama & pertanyaan dari 2012) dan saya temui minggu ini.