Враг не дремлет
Несколько дней назад я узнал, что такое использование уязвимостей.
Хостер, у которого мой сервер на колокейшене, переслал мне письмо с жалобой от одного французского сайта. Жалоба о том, что с ip-адреса моего сервера идут попытки подбора пароля к ихнему сайту.
Захожу по SSH, вижу кучу новых процессов. Особенно насторожило появление процесса httpd. Это при том, что в качестве веб-сервера у меня nginx+php-fpm.
Запущено несколько процессов, использующих tcp-соединения. В том числе принимающих соединения (т.е. рычаги управления). Рубаю все, ищу что и откуда. Нахожу массу подозрительных файлов в каталоге сайта использующего OpenCart. Вижу лоадеры, шелл, пару бинарников, перловые скрипты. В логах вижу процесс заливки шела и использования его с разных групп ip-адресов.
Гугление содержимого вывело на путь проникновения злодеев. Использовалась уязвимость в PDF-библиотеке, которую OpenCart использовал для создания pdf-файлов с описанием товара.
Удаляю все подозрительное, в том числе и злосчастную PDF-библиотеку. Меняю пароли на сайте, отслеживаю активность. Вроде все ок.
Мораль: вовремя обновляйте движки, читайте ящики с ролевых алиасов.
Comments
Leave a Reply