Сегодня я обнаружил новые задания cron на одном из серверов, что заставило меня начать изучать и гуглить эту тему.
После поиска нашел только одно упоминание на официальном форуме.
Уже несколько дней люди начали жаловаться, техподдержка сначала отказала, а теперь и вовсе замолчала.
Обнаружив троянца, я разместил его исходный код на пастабина .
Довольно интересный скрипт, часть ботнета.
Скрипт регистрируется в cron, таким образом: `echo '* * * * * $^X $script_path detach >/dev/null 2>&1' > /tmp/cron.d; crontab /tmp/cron.d ; rm /tmp/cron.d`;
Далее он принимает команды для атаки на серверы, причем вариантов атаки несколько.
Если интересно, посмотрите исходник.
И да, там есть комментарии на русском языке, то есть понятно, откуда ноги :) Та самая дырка, с которой его заливали, в файловом менеджере панели Plesk. Сценарий находится в /var/www/vhosts/DOMAINNAME/cgi-bin/, имеет разные имена и расширение .
pl. На данный момент я заблокировал доступ к заставке фаерволом, оставив только знакомые адреса.
Решения и патча пока нет. Так что, если у вас есть панель Splash, будьте осторожны.
Затронуты ветки 9.5 и ниже.
Вы можете проверить доступность на вашем сервере следующим образом: find /var/www/vhosts/[a-z]*/cgi-bin/*.
pl -mmin -2880
Если вы видите наличие странных файлов с расширением .
pl, значит, вы уже подхватили инфекцию.
Теги: #parallels #Plesk #взломан #информационная безопасность
-
Потоковое Мгновенное Видео Amazon
19 Oct, 24 -
Презентации Google – Выстрел В Молоко
19 Oct, 24 -
Ботнеты Снова В Действии
19 Oct, 24 -
Как Правильно Оформить Статью?
19 Oct, 24 -
В Сша Запрещены Кликовые Убийства
19 Oct, 24 -
Как Мы Кодировали Netflix
19 Oct, 24 -
Выпуск Unity3D 4.0
19 Oct, 24
