Comments 25
Сама дыра, с помощью которой его заливали в файловом менеджере панели Plesk.
т.е. неавторизованный пользователь может заливать файлы?
Боролся с такой гадостью на 2 серверах.
Скрипты являют собой ботнет управляемый с IRC.
Чистил таким методом:
Сделал мини скриптик(знаю что не оптимально, так как может потереть юзерские скрипты) =>
Перловский скрипт можно было найти вот так:
ps uax | grep perl
Он создавал 5 процессов с названием perl1.exe (На CentOS то, совсем не палятся)
Убиваем все перл процессы:
killall perl1.exe && perl
Очень важно потом пойти в /tmp и почисть фалики с пидами типа apachectrl.lock.4
Вообщем дрянь конечно не приятная, но бороться можно.
После такой чистки, установок апдэйтов и рестарта проблем больше не было.
Скрипты являют собой ботнет управляемый с IRC.
Чистил таким методом:
Сделал мини скриптик(знаю что не оптимально, так как может потереть юзерские скрипты) =>
while read x
do
rm -f /var/www/vhosts/$x/cgi-bin/*.cgi
done <domlist
Перловский скрипт можно было найти вот так:
ps uax | grep perl
Он создавал 5 процессов с названием perl1.exe (На CentOS то, совсем не палятся)
Убиваем все перл процессы:
killall perl1.exe && perl
Очень важно потом пойти в /tmp и почисть фалики с пидами типа apachectrl.lock.4
Вообщем дрянь конечно не приятная, но бороться можно.
После такой чистки, установок апдэйтов и рестарта проблем больше не было.
Чето я сомневаюсь, что уязвимость в самой панели.
Тут 2 варианта:
1. админ подцепил трояна и слил свой рутовый пароль от панели.
2. кто-то из пользователей подцепил трояна и слил свой пароль
Для запуска данного perl скрипта не нужны root права, он может спокойно работать из юзер мода.
Тут 2 варианта:
1. админ подцепил трояна и слил свой рутовый пароль от панели.
2. кто-то из пользователей подцепил трояна и слил свой пароль
Для запуска данного perl скрипта не нужны root права, он может спокойно работать из юзер мода.
Я как думаю тут более паршивая ситуация.
Я нашел у себя домэйн через который эту гадость распространяли.
Его ломанули через SQL-Injection (какой-то компонент вордпресса), потом залили тучу шеллов на подобие r57.
Вообщем вся проблема заключается в том что они могут ходить по линкам(ln).
Запретил и убрал поддержку FollowSymLinks в .htaccess.(оставив ее на стороне апача).
Короче, ожидаеться волна хаков по мойму.=(
Я нашел у себя домэйн через который эту гадость распространяли.
Его ломанули через SQL-Injection (какой-то компонент вордпресса), потом залили тучу шеллов на подобие r57.
Вообщем вся проблема заключается в том что они могут ходить по линкам(ln).
Запретил и убрал поддержку FollowSymLinks в .htaccess.(оставив ее на стороне апача).
Короче, ожидаеться волна хаков по мойму.=(
Модули вордпресса часто бывают уязвимые.
Тут похоже на сценарий, что залили шелл, дальше открыли конфиг wordpress, прочитали пароль от базы данных. Часто этот же пароль стоит на фтп и на саму панель.
Тут похоже на сценарий, что залили шелл, дальше открыли конфиг wordpress, прочитали пароль от базы данных. Часто этот же пароль стоит на фтп и на саму панель.
насколько мне известно она уже неделю как началась
на немаленьком хостинге mediatemple неделю назад инженеры обнаружили массовые взломы
на немаленьком хостинге mediatemple неделю назад инженеры обнаружили массовые взломы
Вы по ссылке посмотрели вообще жалобы пользователей.
Пароль не при чем, заходят без пароля, это видно в логах.
Пароль не при чем, заходят без пароля, это видно в логах.
На основании чего сделан вывод, что в тех фрагментах логов видно, что заходят без пароля?
Мне пока кажется, что работает следующий сценарий: каким-то образом получают доступ с базе Плеска (видимо через ту самую SQL injection), далее сливают эту базу, а после этого уже целенаправлено червяк перебирает клиентов и домены и пытается залить себя на хостинг. В логах видно, что атакующий знает идентификаторы и клиентов и доменов, а не просто тупой перебор идет.
Мне пока кажется, что работает следующий сценарий: каким-то образом получают доступ с базе Плеска (видимо через ту самую SQL injection), далее сливают эту базу, а после этого уже целенаправлено червяк перебирает клиентов и домены и пытается залить себя на хостинг. В логах видно, что атакующий знает идентификаторы и клиентов и доменов, а не просто тупой перебор идет.
через инъекцию в пользовательском приложении доступ к базе плеска так просто не получить
ГЫ… заходят на клиентов (атакующий знает идентификаторы) которые не имею вообще доступа к панели… вот так вот. Не стоит у них птичка «Администраторский доступ». Лей не лей базу, а там не будет их паролей для доступа на панель, потому что их ВООБЩЕ у них нет.
Решето!!!
На основании чего был сделан вывод, что уязвим именно Плеск 9.5?
Подобные червяки появляются с завидной регулярностью, ищут дыры в во всяких phpMyAdmin, phpBB, Wordpress, далее пытаются залится в /tmp и начать распространяться дальше. Одного из первых таких ловил еще лет 7 назад (дырку в phpBB использовал, а phpBB клиенты понаставили на свои сайты в массовом порядке).
Насчет эпидемии сейчас — это немного странно. AFAIK червяк появился прошлой осенью, если не раньше.
Для начала хотя бы монтируйте /tmp с noexec (правда от запуска как perl something — не спасет, но все-таки).
Подобные червяки появляются с завидной регулярностью, ищут дыры в во всяких phpMyAdmin, phpBB, Wordpress, далее пытаются залится в /tmp и начать распространяться дальше. Одного из первых таких ловил еще лет 7 назад (дырку в phpBB использовал, а phpBB клиенты понаставили на свои сайты в массовом порядке).
Насчет эпидемии сейчас — это немного странно. AFAIK червяк появился прошлой осенью, если не раньше.
Для начала хотя бы монтируйте /tmp с noexec (правда от запуска как perl something — не спасет, но все-таки).
Имею дело с Parallels Plesk Panel регулярно. Могу быть необъективным. Мои пара слов в защиту панели:
1. На панель надейся — сам не плошай. Вообще панель — это не то решение, которое берут для обеспечения безопасности сайтов. Давайте уж по-чеснаку. Кесарю — кесарево, а слесарю — слесарево.
2. Дальше — интереснее. Указанная брешь в безопасности была локализована в сентябре 2011 года. Так что в версии Плеска 10.4 (ноябрь 2011) уязвимости уже нету. У топикстартера панель, скорее всего, версии 9.X или старше.
3. Лекарство от троянов простое — вовремя апдейты ставить. Обновления выходят регулярно, можно даже автоматическую установку настроить. В апдейтах ликвидируются выявленные проблемы. В этом и прелесть проприетарного ПО.
1. На панель надейся — сам не плошай. Вообще панель — это не то решение, которое берут для обеспечения безопасности сайтов. Давайте уж по-чеснаку. Кесарю — кесарево, а слесарю — слесарево.
2. Дальше — интереснее. Указанная брешь в безопасности была локализована в сентябре 2011 года. Так что в версии Плеска 10.4 (ноябрь 2011) уязвимости уже нету. У топикстартера панель, скорее всего, версии 9.X или старше.
3. Лекарство от троянов простое — вовремя апдейты ставить. Обновления выходят регулярно, можно даже автоматическую установку настроить. В апдейтах ликвидируются выявленные проблемы. В этом и прелесть проприетарного ПО.
Я так понял, по ссылке никто ничего не прочитал, да?
Люди жалуются что со всеми апдейтами, последний от 22-23 числа, дыра не закрыта.
Панель 9.Х, я об этом написал в топике.
Люди жалуются что со всеми апдейтами, последний от 22-23 числа, дыра не закрыта.
Панель 9.Х, я об этом написал в топике.
Лицензии от моих плесков 9.5 успешно подошли и работают на последних плесках 10.х. В свое время просто обновился средствами самого плеска
Кстати, в указанной ветке форума есть мысль, что пользователи, жалующиеся на взлом после установки фиксов, поставили апдейт уже после того, как их поломали, и не сменили пароли, поломанными злоумышленниками. Everybody lies ;)
Ну мне, письмо вы (Parallels) как бы сами прислали.Но это дырка другая вроде как.
pastebin.com/vYpgkces
Вообще, Плеск мегакачественный продукт.Работая в хостинговой компании.Используем как и Plesk так и Cpanel.C первым на много меньше проблем.
pastebin.com/vYpgkces
Вообще, Плеск мегакачественный продукт.Работая в хостинговой компании.Используем как и Plesk так и Cpanel.C первым на много меньше проблем.
Зачем такие ссылки давать?
Там автор топика какой-то неадекват и странный человек, сделал шаред на сто сайтов, все сайты работают из-под одного linux-пользователя, пользователи бесконтрольно заливают туда кто что хочет, и потом удивляется что где-то заработал троян.
Это в наше-то время почти бесплатных VPS/облаков.
И еще при этом предлагает писать в техподдержку RedHat (это видимо от сертификации люди так тупеют).
На Хабре его бы мигом с таким поведением в -100 заминусовали.
Там автор топика какой-то неадекват и странный человек, сделал шаред на сто сайтов, все сайты работают из-под одного linux-пользователя, пользователи бесконтрольно заливают туда кто что хочет, и потом удивляется что где-то заработал троян.
Это в наше-то время почти бесплатных VPS/облаков.
И еще при этом предлагает писать в техподдержку RedHat (это видимо от сертификации люди так тупеют).
На Хабре его бы мигом с таким поведением в -100 заминусовали.
Так ведь дело к выборам. Надо сервера готовить для DDoS.
Sign up to leave a comment.
Parallels Plesk hacked — Нашли дыру в Плеск-панели