3. CURRENT_EVENTS Jembot PHP Webshell (hell.php)

1. Nhận diện

a. Trên giao diện giám sát SOC

b. Trên giao diện Kibana

2. Mô tả

Jembot là một loại Webshell độc hại được các hacker sử dụng để chiếm quyền quản lý các hệ thống website. Chỉ cần hacker có thể tải được các tệp tin webshell này lên hệ thống của website thì xem như hacker đã có toàn quyền kiểm soát website đó, cho dù không biết tài khoản và mật khẩu của máy chủ

3. Các thông tin cần thu thập

• Xác định IP nguồn và IP đích của cảnh báo

• Xác định nội dung payload được gửi đi trên giao diện Kibana bằng cú pháp lệnh

  agent.name: [tên sensor] AND srcip: [IP nguồn] AND dstip: [IP đích] AND ips.msg: "ET CURRENT_EVENTS Jembot PHP Webshell (hell.php)"

Ví dụ

agent.name: sensor-xxx AND srcip: x.x.x.x AND dstip: x.x.x.x AND ips.msg: "ET CURRENT_EVENTS Jembot PHP Webshell (hell.php)"

• Lấy nội dung trường payload (ips.payload) trong thông tin cảnh báo

• Giải mã nội dung mã hóa bằng decode base64 thông qua việc sử dụng website decode online (https://www.base64decode.org) hoặc tool decode base64

4. Kiểm tra và xử lý

a. Kiểm tra

• Tiến hành kiểm tra nội dung sau khi tiến hành giải mã nội dung payload

• Kiểm tra sự tồn tại của file hell.php

Nếu kết quả trả về như hình ảnh dưới đây thì là false positive

Nếu website đã bị cài shell sẽ trả về kết quả có hình ảnh như sau:

b. Xử lý

Sau khi phát hiện chính xác là website đã bị cài Jembot webshell, tiến hành xử lý theo các bước như sau:

Bước 1: Yêu cầu kiểm tra, rà soát toàn bộ source code của website, tìm kiếm các vị trí đường dẫn lưu file hell.php

Ví dụ: http://xxx.xxx.xxx.xxx/wp-content/uploads/2011/12/chase/hell.php

Bước 2: Xác định IP nguồn kết nối tới file shell

Bước 3: Yêu cầu thực hiện cấu hình Firewall chặn IP nguồn vừa được xác định

Bước 4: Gỡ và xóa bỏ toàn bộ shell bị cài trong hệ thống

5. Sơ đồ xử lý