Parallels Plesk hacked — Нашли дыру в Плеск-панели

Сегодня обнаружил новые задания в cron-е, на одном из серваков, что и заставило меня начать разбиратся и гуглить на эту тему.
Поискав, нашел только одно упоминание на официальном форуме Parallels.
Уже несколько дней как люди начали жаловаться, тех-поддержка сначала отнекивалась, а теперь вообще замолкла.

Обнаружив троян, выложил его исходный код на pastebin.
Довольно интересный скрипт, часть ботнета.
Скрипт сам себя прописывает в крон, таким образом:
`echo '* * * * * $^X $script_path detach >/dev/null 2>&1' > /tmp/cron.d; crontab /tmp/cron.d ; rm /tmp/cron.d`;

Далее принимает команды на атаку серверов, причем вариантов атак несколько. Если интересно, посмотрите исходник. И да, в нем комменты на русском, то есть, понятно, откуда ноги растут :)

Сама дыра, с помощью которой его заливали в файловом менеджере панели Plesk.
размещается скрипт в /var/www/vhosts/DOMAINNAME/cgi-bin/, с разными названиями и расширением .pl

На текущий момент, закрыл доступ на панель плеск файрволом, оставив только знакомые адреса. Решения или патча пока нет. Так что, если у Вас Плеск-панель, будьте бдительны. Поражению подвержены ветки 9.5 и ниже.

проверить наличие у себя на сервере можно так:
find /var/www/vhosts/[a-z]*/cgi-bin/*.pl -mmin -2880
Если увидите наличие непонятных файлов с расширением .pl, значит Вы уже подхватили заразу.