用 Joomla 嗎?你的網站可能已參與 DDoS 攻擊
1. 背景
根據 W3Techs 統計 [1],現時其中一種最多網站使用的內容管理系統(CMS)為 Joomla。截至 2013 年 11 月 29 日,Joomla 的市佔率為 9.2%。同時,在 Joomla 發現的漏洞之中,多數是執行程式碼及插入 SQL 指令碼漏洞 [2]。這代表攻擊者很容易就控制過時及有漏洞的 Joomla 網站,並能利用這些網站進行惡意攻擊。本文旨在講述一種透過利用 Joomla 漏洞而進行的嚴重分散式阻斷服務(DDoS)攻擊。
Left: market share of Joomla (source: W3Techs), right: vulnerabilities found in Joomla (source: CVE Details)
2. 「Operation Ababil」DDoS 攻擊
自 2012 年 9 月起約一年時間 [3],一個稱為「Izz ad-Din al-Qassam Cyber Fighters」的組織,針對美國多間銀行發動一連串 DDoS 攻擊。連串攻擊行動被稱為「Operation Ababil」,是由一齣在 YouTube 上模仿先知穆罕默德而受爭議的電影預告片所引發 [4]。
多間保安服務供應商錄得這些 DDoS 攻擊所製造的最大流量由 60 Gbps 至 100 Gbps [5]。而香港過去一年經過 HKIX 的互聯網流量平均為 150 Gbps [6]。
要發動如此大威力的攻擊,這些攻擊者利用了一種由伺服器組成的殭屍網絡,稱為「itsoknoproblembro」。這種殭屍網絡並非如一般常見的 Citadel 或 Pushdo 使用 PC 作為殭屍網絡成員。攻擊者先找出有漏洞並以 PHP 開發 CMS 的網頁伺服器,然後植入「itsoknoproblembro」工具。這些受控制的伺服器稱為「brobot」。由於該工具以 PHP 開發,攻擊者可透過一般 HTTP 請求,即包含參數的網址,發動 DDoS 攻擊 [7]。
3. HKCERT 在香港進行「brobot」清理行動
自 2012 年 10 月,HKCERT 收到 US-CERT、APCERT 及某美國銀行關於被控制香港網站參與以上 DDoS 攻擊的報告。截至本文刊出時,我們通知了 34 間 ISP 聯絡他們的客戶,清理共 293 個網址,來自包括寄存在 129 個 IP 地址上的 144 個網站。
4. 如何偵測及清除 CMS 內的「brobot」
受控制的香港網站多數使用過時及有漏洞的 Joomla 作為 CMS,並被植入了「itsoknoproblembro」工具。由於這個殭屍網絡透過 PHP 控制,其他以 PHP 開發的 CMS 如 Wordpress 亦有機會被控制成為「brobot」 [7]。
4.1 如何偵測 CMS 內的「brobot」
- 一個稱為「alexaalexa」的惡意使用者可能在你的 CMS 以電郵地址「[email protected]」登記帳戶。
- 不管使用那一種 CMS,檢查網頁伺服器有沒有以下檔案以偵測 brobot(留意檔案名是刻意串錯):
classfile2.php confgic.php confiq.php define.inc.php erorlog.php error.php get.pl haeadr.php hlep.php imge.php indx.php inedx.hph infophp.php kickstart.php loguout.php mgsbox.php post.pl pr.txt rp.php saerch.php service.php settinq.php seurch.php startphp.php stcp.php stcurl.php stlye.php stmdu.php stph.php style.php themess.php
4.2 如何清除 CMS 內的「brobot」
Joomla 使用者可根據 Joomla 支援討論區內的指示,使用「Joomla antimalware scanning script」掃描網頁伺服器偵測惡意檔案 [8]:
- http://extensions.joomla.org/extensions/tools/security-tools/24558
- http://forum.joomla.org/viewtopic.php?f=621&t=777957
這個工具只與 Joomla 2.x 及 3.x 相容,因此使用該工具前你需要升級任何 Joomla 1.x 至最新版本。
5. 參考資料
- Usage of content management systems for websites, W3Techs
- Joomla: Vulnerability Statistics, CVE Details
- pp. 5-6, Breaking the Bank - An Analysis of the 2012 – 2013 ‘Operation Ababil’ Financial Industry DDoS Attack Campaign, Arbor Networks
- DDoS attacks against US banks peaked at 60 Gbps, Network World
- Islamic group promises to resume U.S. bank cyberattacks, Network World
- `Yearly' Graph (1 Day Average), HKIX Switching Statistics, HKIX
- THREAT: itsoknoproblembro “BroDoS”, Prolexic
- Server generating DDoS Attacks, The Joomla! Forum
分享至