Враг не дремлет

Апрель 23, 2011 · Posted in Без рубрики 

Несколько дней назад я узнал, что такое использование уязвимостей.

Хостер, у которого мой сервер на колокейшене, переслал мне письмо с жалобой от одного французского сайта. Жалоба о том, что с ip-адреса моего сервера идут попытки подбора пароля к ихнему сайту.

Захожу по SSH, вижу кучу новых процессов. Особенно насторожило появление процесса httpd. Это при том, что в качестве веб-сервера у меня nginx+php-fpm.

Запущено несколько процессов, использующих tcp-соединения. В том числе принимающих соединения (т.е. рычаги управления). Рубаю все, ищу что и откуда. Нахожу массу подозрительных файлов в каталоге сайта использующего OpenCart. Вижу лоадеры, шелл, пару бинарников, перловые скрипты. В логах вижу процесс заливки шела и использования его с разных групп ip-адресов.

Гугление содержимого вывело на путь проникновения злодеев. Использовалась уязвимость в PDF-библиотеке, которую OpenCart использовал для создания pdf-файлов с описанием товара.

Удаляю все подозрительное, в том числе и злосчастную PDF-библиотеку. Меняю пароли на сайте, отслеживаю активность. Вроде все ок.

Мораль: вовремя обновляйте движки, читайте ящики с ролевых алиасов.

Comments

Leave a Reply