- PVSM.RU - https://www.pvsm.ru -
Сегодня обнаружил новые задания в cron-е, на одном из серваков, что и заставило меня начать разбиратся и гуглить на эту тему.
Поискав, нашел только одно упоминание на официальном форуме Parallels [1].
Уже несколько дней как люди начали жаловаться, тех-поддержка сначала отнекивалась, а теперь вообще замолкла.
Обнаружив троян, выложил его исходный код на pastebin [2].
Довольно интересный скрипт, часть ботнета.
Скрипт сам себя прописывает в крон, таким образом:
`echo '* * * * * $^X $script_path detach >/dev/null 2>&1' > /tmp/cron.d; crontab /tmp/cron.d ; rm /tmp/cron.d`;
Далее принимает команды на атаку серверов, причем вариантов атак несколько. Если интересно, посмотрите исходник. И да, в нем комменты на русском, то есть, понятно, откуда ноги растут :)
Сама дыра, с помощью которой его заливали в файловом менеджере панели Plesk.
размещается скрипт в /var/www/vhosts/DOMAINNAME/cgi-bin/, с разными названиями и расширением .pl
На текущий момент, закрыл доступ на панель плеск файрволом, оставив только знакомые адреса. Решения или патча пока нет. Так что, если у Вас Плеск-панель, будьте бдительны. Поражению подвержены ветки 9.5 и ниже.
проверить наличие у себя на сервере можно так:
find /var/www/vhosts/[a-z]*/cgi-bin/*.pl -mmin -2880
Если увидите наличие непонятных файлов с расширением .pl, значит Вы уже подхватили заразу.
Автор: shadowalone
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/parallels/2542
Ссылки в тексте:
[1] Parallels: http://forum.parallels.com/showthread.php?t=257260
[2] pastebin: http://pastebin.com/gAs4EkyG
Нажмите здесь для печати.