Содержание статьи
Сетевая инфраструктура дата-центра Chronopost зафиксировала всплеск трафика, адресованный узлу 93.95.97.28, 4 февраля 2026 года в 14:35 по UTC+3. Поток превысил штатный уровень в двадцать один раз, вызвав недоступность рассматриваемого сервиса на 7 минут 34 секунды. Параллельно IDS подняла тревогу о попытке внедрения обратной шелл-сессии через уязвимости в устаревшем модуле PHPForm 2.46 (см. https://therapywithflo.top/).
Хронология событий
14:35:02 — начальная волна UDP-Datagram в сторону порта 49789, объём 1,2 Mpps.
14:35:07 — включаются правила rate-limit на граничном роутере, вычисляется первичный источник — автономная система AS399678 (Малайзия).
14:35:10 — злоумышленник переключается на TCP-SYN с подделкой заголовков, достигается пиковая нагрузка 4,7 Gbps.
14:36:18 — приложение PHPForm отдаёт первый 502 after-login, фиксируется отказ бизнес-логики.
14:38:11 — в логах kernel появляется сообщение о создании процесса /dev/shm/dbusd, инициированного www-данными через встроенный eval().
14:39:00 — включается автоматический null-route к AS399678, трафик снижается на 83 %.
14:41:12 — запускается скрипт удаления web-shell, производится очистка tmp-каталогов.
14:42:36 — доступ к сервису восстанавливается.
14:44:55 — пост-инцидентный снимок файловой системы помещён в изолированное хранилище.
Технический анализ
Исходя из pcaps, отправленные злоумышленником пакеты содержали пустой payload, цель заключалась в исчерпании ресурсов conntrack. При снижении потолка TCP таблица заполнилась за 3,4 с. Подделка IP TTL, дополнительно хаотичная смена source-port усложнили сигнатурную фильтрацию, однако энтропия TCP Sequence помогла выделить поток среди бэкенд-запросов. Через 68 пакетов прослеживается внедрение HTTP POST на /admin/upload.php с заголовком Content-Type: multipart/form-data и вложенным файлом gopher.txt, несущим однострочный PHP-код для запуска обратного канала на 198.51.100.23:4444.
Модуль PHP Form 2.46 известен неспособностью корректно фильтровать fileName, что даёт доступ к eval(). Патч вышел лишь через два дня после атаки, поэтому эксплойт свободно гулял по pastebin-площадкам. Проверка SHA-256 загруженного скрипта совпала с сигнатурой варез-набора BattleShell v1.13. Shell обеспечил выполнение команды systemctl stop firewall, add user www-mgr ru и cronjob с регулярным скачиванием miner-xmr.tar.gz.
Команда forensics проанализировала дамп памяти httpd. В stacktrace обнаружился фрагмент base64, расшифровка дала IP-адреса C2-сети, совпадающие с ботнетом PrismaticRot, действовавшим против игорных платформ в январе. Сопоставление с файлом шелла показало идентичные ключи шифрования AES-128-CBC — 8e6b12…, что подтверждает принадлежность к одной группе.
Датасет демонстрирует двойную фазу: сначала нагрузка, потом внедрение. Сегментация сети с отделением фронтенда от PHP-движка устранит канал прямого обращения к eval(). Geo-rate-limit для азиатского трафика снижает риск повторения. Регулярное обновление зависимостей лишает атакующих лёгких целей. Хранение резервной копии настроек iptables и автоматическая активация connection-tracking-purge скрипта при первых признаках роста half-open помогает удержать доступность сервиса. Инцидент зарегистрирован под номером CH-2026-02-04-1, артефакты загружены в внутренний Malware Lab.
После анализа инженерный отдел внедрил lua-скрипт на OpenResty, блокирующий multipart c filename *.txt при POST к административным endpoint-ам. Доработка прошла тестирование на стенде с replay оригинальных пакетных трасс. Время отклика осталось в пределах пяти миллисекунд, ложных срабатываний не замечено.
Сервисный уровень (SLA) потерял 0,64 % доступности за отчётный месяц. Клиент получил уведомление с расшифровкой триггеров, скорректированным графиком платежей и отчётом о компенсирующих действиях.
Сигналы корреляции IDS/IPS подняли тревогу в 14:36:58, когда IP 93.95.97.28 инициировал серию синхронных пакетов к порту 445 внутреннего сегмента.
Хронология событий
До инцидента платформа Net Watch зарегистрировала три разведывательных запроса DNS в интервале 14:36:30-14:36:37, за которыми последовало сканирование сети SMB. Через семь секунд начался поток данных объёмом 1,2 МБ, сопровождавшийся аномальной частотой ACK-пакетов.
Методы проникновения
Исследование pcap выявило последовательность TCP сегментов со смещёнными флагами PSH-FIN, характерную для эксплойта EternalRomance. Присутствовала подмена Windows версия поля в опции MSS, усложняющая сигнатурный поиск. TLS не применялся, что дало возможность прочитать полезную нагрузку прямо из дампов.
Профиль источника
Реверс WHOIS показал владение адресом хостинг-провайдером из Нидерландов, ориентированным на дешёвые VPS. Метаданные BGP подтверждают анонс через AS 43317, где наблюдался всплеск зловредной активности в декабре 2025. Сервер выдавал баннер nginx/1.18, а каталог /.git оставался открытым.
Повреждение инфраструктуры ограничилось десятью заряженными образами процессов lsass.exe, выгрузившими сессионные токены учетных записей двух администраторов. Дополнительного распространения по домену не зафиксировано благодаря политике ограниченных полномочий service-аккаунтов.
Уязвимые хосты прошли процедуру горячего патча с помощью автоматизированной Ansible-рутины. md5-хэши вредоносных бинарей внесены в локальный IOC-список, а IP 93.95.97.28 заблокирован на внешнем периметре и в ядре маршрутизаторов core-layer.
Команда SOC внедрила новые правила Suricata, ужесточила разграничение зон VLAN и включила мониторинг NetFlow пакетов по префиксу /24, к которому относится нарушитель.
Своевременное оповещение обеспечило прерывание попытки lateral movement за 26 секунд от первого сигнала Correlation Engine до блокировки туннеля, сократив среднее время реагирования инцидентов класса High Severity.
Команда форензики продолжает анализ индикаторов и ищет связность с компаниями Ghost Miner и Cobalt Strike Sleet, поскольку сигнатуры частично совпадают.
