Не пофиксенная уязвимость Proftpd в ubuntu.

Недавно столкнулся с ситуацией, когда сайт на drupal взламывали из зо дня в день, на нем появлялось все больше и больше гадости рассылающих спам, и делающих прочие нехорошие вещи. На сервере установлена ubuntu 14.04 полностью обновленная, сайт на drupal(не лучшая cms, но это не мое дело) тоже последней версии. Ничего не предвещало беды, но я вспомнил, что proftpd частенько падал на серваке, загуглив впроблему я выяснил, что в этом виноват скрипт запуска после ротации логов. Если кому интересно нужно открыть /etc/init.d/proftpd, найти и изменить следующую строчку
start-stop-daemon --stop --signal $SIGNAL --quiet --pidfile
на
start-stop-daemon --stop --signal $SIGNAL --retry 1 --quiet --pidfile "$PIDFILE"
и будет все отлично, но сейчас не об этом.


В общем зайдя в каталог /tmp я заметил 2 странных файла, которые вызывали подозрение на взлом.
1. /etc/passwd.copy, файл с данными о пользователях в /tmp, недобрый знак.
2. <?php eval($_REQUEST[cmd]); ?> — ну это было вообще палево.
Отправился в google, и в первой же ссылки выяснил, что вирусню заливали через proftpd.
Статья на хабре [ https://habrahabr.ru/post/257027/ ] на opennet [ https://www.opennet.ru/opennews/art.shtml?num=42015 ]
Недолго думая проверил proftpd на уязвимость, и какое ж было мое удивление, что полностью обновленный сервер, подвержен прошлогодней дыре…
Фикса в пакетах я не нашел, поэтому просто отключил следующий модуль mod_copy.c ведь в нем же уязвимость :-).
Для этого откройте файл /etc/proftpd/modules.conf, найдите строчку LoadModule mod_copy.c и либо ее удалить либо закомментируйте #LoadModule mod_copy.c Не забудьте перезапустить proftpd /etc/init.d/proftpd restart.
Проверить отключен ли данный модуль, можно командой proftpd -vv | grep copy

Комментарии ()

    Есть вопрос или предложение пиши в Telegram @cloudsv

    MTProto прokси для Telegram

    Прямой эфир

    cloudsv 10 сентября 2020, 13:17
    MySQL Workbench падает при подключении 2
    cloudsv 31 августа 2020, 15:55
    Let's Encrypt это легко и просто 2
    cloudsv 05 августа 2020, 11:57
    Мне вчера стукнуло 34 4
    Алексей 19 июня 2020, 15:06
    Обновление Scala Rider G4 34
    Tmks 24 января 2020, 01:05
    Настройка прокси mtproto для Telegram 50
    cloudsv 26 октября 2019, 20:11
    Linux I/O Scheduler, для кого какой? 2
    alex 26 февраля 2019, 11:28
    Установка и настройка minidlna 1
    Георгий 18 декабря 2018, 09:13
    Пароль от резервной копии Bitrix 2
    cloudsv 31 июля 2020, 00:54
    О жизни Мне вчера стукнуло 34 4
    cloudsv 15 апреля 2020, 18:45
    Arch Linux Основные hotkeys редактора Vim 0
    cloudsv 01 октября 2019, 11:00
    Arch Linux Локальный редирект порта в Linux 0
    cloudsv 25 августа 2019, 19:14
    О жизни Социальная сеть от Яндекса Aura 0
    cloudsv 31 июля 2019, 00:34
    О жизни 33 year old 0
    cloudsv 25 июня 2019, 21:29
    Telegram Полезные боты в Telegram 0