search

3. CURRENT_EVENTS Jembot PHP Webshell (hell.php)

hashtag
1. Nhận diện

hashtag
a. Trên giao diện giám sát SOC

hashtag
b. Trên giao diện Kibana

hashtag
2. Mô tả

Jembot là một loại Webshell độc hại được các hacker sử dụng để chiếm quyền quản lý các hệ thống website. Chỉ cần hacker có thể tải được các tệp tin webshell này lên hệ thống của website thì xem như hacker đã có toàn quyền kiểm soát website đó, cho dù không biết tài khoản và mật khẩu của máy chủ

hashtag
3. Các thông tin cần thu thập

  • Xác định IP nguồn và IP đích của cảnh báo

  • Xác định nội dung payload được gửi đi trên giao diện Kibana bằng cú pháp lệnh

    agent.name: [tên sensor] AND srcip: [IP nguồn] AND dstip: [IP đích] AND ips.msg: "ET CURRENT_EVENTS Jembot PHP Webshell (hell.php)"

hashtag
Ví dụ

agent.name: sensor-xxx AND srcip: x.x.x.x AND dstip: x.x.x.x AND ips.msg: "ET CURRENT_EVENTS Jembot PHP Webshell (hell.php)"

  • Lấy nội dung trường payload (ips.payload) trong thông tin cảnh báo

hashtag
4. Kiểm tra và xử lý

hashtag
a. Kiểm tra

  • Tiến hành kiểm tra nội dung sau khi tiến hành giải mã nội dung payload

  • Kiểm tra sự tồn tại của file hell.php

Nếu kết quả trả về như hình ảnh dưới đây thì là false positive

Nếu website đã bị cài shell sẽ trả về kết quả có hình ảnh như sau:

hashtag
b. Xử lý

Sau khi phát hiện chính xác là website đã bị cài Jembot webshell, tiến hành xử lý theo các bước như sau:

hashtag
Bước 1: Yêu cầu kiểm tra, rà soát toàn bộ source code của website, tìm kiếm các vị trí đường dẫn lưu file hell.php

Ví dụ: http://xxx.xxx.xxx.xxx/wp-content/uploads/2011/12/chase/hell.php

hashtag
Bước 2: Xác định IP nguồn kết nối tới file shell

hashtag
Bước 3: Yêu cầu thực hiện cấu hình Firewall chặn IP nguồn vừa được xác định

hashtag
Bước 4: Gỡ và xóa bỏ toàn bộ shell bị cài trong hệ thống

hashtag
5. Sơ đồ xử lý

Previous2. EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communicationNext4. SCAN SSH BruteForce Tool with fake PUTTY version

Last updated