☠GoBrut Botnet — новая опасность для WordPress в 2019 году

GoBrut — это вредоносная программа, написанная на языке программирования Golang, которая используется для взлома сайтов, работающих под управлением популярных систем управления контентом (CMS), а также SSH и MySQL серверов. После заражения хост присоединится к ботнету GoBrut и запросит дальнейшие действия с управляющего сервера C2 (Command and Control). После того, как задание получено, зараженный хост приступит к достижению целей, указанных в рабочем запросе, отправленном владельцем ботнета.

Ботнет — это компьютерная сеть, состоящая из неограниченного числа устройств с установленным на них вредоносным программым обеспечением. Это программное обеспечение огранизованно управляется одним или несколькими управляющими серверами и используется для различных деструктивных целей (DDoS и Bruteforce атаки, рассылка спама, распространение вирусов-уничтожителей данных и т. п.)

Программа GoBrut впервые была обнаружена на Windows-платформах, и только недавно, чуть более месяца назад, компания Alert Logic Research обнаружила новый вид ботнета, работающий на серверах Linux. По их данным, скомпроментировано более 11 000 веб-серверов на базе Linux, из которых более 1500 представляли собой взломанные WordPress-сайты.

Исполняемая программа (так называемый ELF) работает аналогично образцам, обнаруженным на Windows, связывается с теми же контролирующими серверами, и имеет одну отличительную особенность — в планировщик cron добавляется специальное задание, которое постоянно перезапускает работу вредоносной программы, если она прекращает работать.

При выполнении из командной строки бинарный файл выдает свою версию, которая для этого образца была 1.5.

Система анализа от Alert Logic наблюдала 11 788 уникальных хостов и пик 2666 хостов, наблюдавшихся в течение 24 часов, начиная с 24 января 2019 года. Среднее число работающих ботов за один раз было около 500 и недавно (с 19 марта 2019 года) показало 5-кратное увеличение до 2666.

Это говорит о том, что ботнет становится все более успешным в своей способности заражать и привлекать все новых членов.

Исследование трафика, создаваемого ботнетом показало, что атака направлена на сайты, работающие под управлением WordPress. Выполняется брут-форс — подбор данных входа в админ-панель методом прямого перебора. Причем в качестве источника одного из параметра — логина администратора — могут использоваться данные из открытого доступа, такие как указание автора постов на сайте или эксплуатация уязвимостей старых версий WordPress, раскрывающих чувствительные данные.

Как выглядит зараженный сайт и сервер?

Первое, на что вы можете обратить внимание, как адмистратор веб-ресурса — что страницы вашего сайта стали загружаться медленнее. Это обусловлено нагрузкой на сервер от работы вредоносной программы. Конечно, не всякое замедление работы сразу свидетельствует о взломе сайта. Также вы можете почувствовать снижение скорости загрузки страниц в случае брут-форс атаки на ваш сайт. В этом случае запросы по перебору паролей к вашей админ-панели тормозят работу сервера, помимо того, что ваши данные находятся в опасности, если не предприняты меры по защите от взлома.

Второй немаловажный признак — появление незнакомых вам файлов и папок на сервере в директории сайта. Это могут быть файлы с расширением .php и разнообразными именами. Вот лишь несколько популярных примеров: default.php, css.php, simpleside.php5 , goh.php, cache2345.php и т. п. А также это могут быть файлы без каких-либо расширений со случайным набором символов в названии, например, HB15ra, JcMKBD.

Третье — наличие характерного cron-задания в списке заданий в панели управления хостингом. На наших серверах чаще всего вредоносная cron-задача имела вид:

* * * * * /home/USERNAME/public_html/wp-content/uploads/04/FILENAME > /dev/null 2>&1

Хотя в исследовании упоминаются и другие CMS, мы столкнулись только с заражением сайтов на базе WordPress.

Если у вас виртуальный или выделенный сервер, или же у вас есть SSH-доступ к хостингу, то вы можете просмотреть список запущенных на сервере процессов и обнаружить четвертый признак заражения. Для получения списка процессов нужно написать в командной строке терминала команду ps aux:

~$ ps aux 
USER       PID %CPU %MEM    VSZ    RSS   TTY      STAT START   TIME   COMMAND
username   9981 44.4 0.0    804780 37884 ?        Ssl 16:35    176:26 [stealth]

Если вы видите процесс, как указан выше, значит ваш сервер (или хостинг-аккаунт) участвует в ботнете.

Что делать, если сайт заражен?

В первую очередь нужно прекратить вредоносную активность, то есть принудительно завершить работу вредоносных процессов, удалить cron-задания, закрыть доступ к сайту из вне до его полной очистки.

Далее нужно действовать в зависимости от масштабов проблемы. Необходимо обязательно удалить все вредосноные файлы, установить все доступные обновления серверных пакетов, а также ядра CMS, тем и плагинов. Также нужно обновить все пароли (пароли доступа к серверу, MySQL, FTP, админ-панелей). Всегда используйте сложные пароли. Чем сложнее и длиннее пароль — тем труднее будет его подобрать прямым перебором. Пример подходящего пароля: ‘yL,#i+mU7h$EwxHdC&<

Ссылка на подробную инструкцию по защите вашего WordPress-сайта от брут-форс атак появится здесь уже совсем скоро.

В заметке использованы материалы исследования компании Alert Logic.