O servidor foi invadido por alguns Crypto Lockers [duplicados]

Navegue suas respostas
1

Meu servidor (CentOS) foi invadido recentemente por alguns Crypto Hackers. Eles criptografaram todos os meus arquivos e pediram por resgate para descriptografar os arquivos. Eles mantiveram uma mensagem em todas as pastas, que começam assim

Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server on the Internet. After that, nobody and never will be able to restore files...
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 1 bitcoins (~240 USD). Without key, you will never be able to get your original files back...

Agora eles me enviaram as chaves de decodificação e eu ainda sou Alguém poderia me ajudar, como eu posso recuperar meus arquivos?
Quais são as possíveis vulnerabilidades que eles aproveitaram? Alguma outra dica / ponteiros para evitar futuras ameaças? Agradecemos antecipadamente.

Edit: Eles me enviam um script PHP com a chave privada, que eu deveria fazer o upload para o servidor e passar por uma URL. Aqui é o arquivo de descriptografia que eles me enviaram.

    
por Shameer 21.10.2015 / 08:50

2 respostas

2

Apenas algumas dicas gerais para evitar infecções por malware e outras violações de segurança:

  • mantenha seu sistema atualizado
  • trabalhe o máximo possível como usuário não privilegiado e use o sudo (ou similar) para executar comandos administrativos
  • não desative o SELinux
  • não abra links em e-mails e semelhantes, a menos que você confie na fonte
  • desativar serviços que você realmente não precisa / usa
  • opera um firewall pelo menos no limite da sua rede
  • monitora arquivos de log para atividades suspeitas manualmente ou com a ajuda de um sistema de detecção de intrusões

Além dos itens acima: verifique se você tem um backup atual que você sabe que pode restaurar.

    
por 21.10.2015 / 09:20
2

Se você extrair as 3 linhas $ so32, $ so64 e $ so e, em seguida, decodificá-las, receberá 3 binários.

Eu os extraí simplesmente removendo o código PHP entre essas linhas e "convertendo-o" para um script bash que basicamente os grava em arquivos.

Algo como: 

so32="f0VMRgEBAQMA..."
so64="f0VMRgEBAQMA..."
so="f0VMRgEBAQMA..."
echo $so32 | base64 --decode > /tmp/so.decoded
echo $so64 | base64 --decode > /tmp/so32.decoded
echo $so | base64 --decode > /tmp/so64.decoded

Eles parecem ser binários repletos de UPX que, pelo menos, de acordo com este artigo corresponde ao aplicativo de decodificação cryptolocker. 

file /tmp/so*
/tmp/so32.decoded: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
/tmp/so64.decoded: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, stripped
/tmp/so.decoded:   ELF 64-bit LSB executable, x86-64, version 1 (FreeBSD), statically linked, for FreeBSD 10.1, not stripped
strings /tmp/so64.decoded -n 30
$Info: This file is packed with the UPX executable packer http://upx.sf.net $
$Id: UPX 3.91 Copyright (C) 1996-2013 the UPX Team. All Rights Reserved. $

Mas eu não conheço nenhuma maneira de descompactá-los para verificar o que os binários fariam. Considerando onde você conseguiu este arquivo, você terá que decidir se quer correr o risco de executá-lo.

E se o site foi desativado nesse meio tempo, não há garantia de que isso ainda funcionará.

    
por 21.10.2015 / 09:50

Tags

pdo_mysql está instalado, mas ausente no phpinfo O que são grupos de consistências de armazenamento?