Новый линукс-зловред, заражающий веб-серверы

12
lonelywoolf
На сайте с 23.12.2013
Offline
151
2718

Зловред примечателен тем, что не обнаруживается штатными антивирусами. Как он проникает на машинки - пока не ясно, но есть подозрения, что эксплойт применяется к Roundcube. Вобще обсуждались два вектора атаки: машины разработчиков, эксплойт для apache (с предварительным взломом уязвимого скрипта). Среди пострадавших есть серверы на CLoudLinux, CentOS, Debian.

Зловред создаёт файлик #README.lilocked (https://pastebin.com/XG45Nj8T), в котором злоумышленники извиняются и сообщают, что им нужно заплатить. Для этого предлагают зайти на *.onion-сайт. После удачного шифрования сервер был перезагружен, логи тоже оказались зашифрованы, а тело зловреда по всей видимости, удалено.

Собственно, всем причастным крайне желательно обновиться на последние версии программного обеспечения. Первые упоминания о заразе появились только в твиттере (других мне неизвестно) 20 июля. Если правильно задать запрос - появляются повреждённые сайты примерно 2 недели назад. Всем, кто обладает информацией - просьба поделиться с сообществом.

Платный и бесплатный хостинг с защитой от DDoS (http://aquinas.su)
baas
На сайте с 17.09.2012
Offline
118
#1

То-есть на сервер он попадает через своих разработчиков?

То-есть с начало инфицируется машины разработчиков, после он попадает на сам сервер, так что ле?

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
lonelywoolf
На сайте с 23.12.2013
Offline
151
#2

baas, Пока не ясно, как он попадает, у нас есть клиент с такой проблемой, лишний раз убедились в полезности бэкапов. Вектора проникновения не нашли, на сервере было более 400 сайтов. Возможна и ручная работа, но подозрений - только машины разработчиков (маловероятно), ручками воспользовались CVE-2019-12815 в ProFTPd (окно в общем-то было), либо взломали какой-то сайт и повысили привилегии до рута эксплойтнув ядро или апач (известных уязвимостей этой конфигурации у нас нет).

---------- Добавлено 30.07.2019 в 13:06 ----------

Первое упоминание было от Michael Gillespie - достаточно известный борец с шифровальщиками, 20 июля. После - пара сообщений от разных людей, плюс вот наш клиент.

M
На сайте с 17.09.2016
Offline
86
#3

lonelywoolf, mod_copy по дефолту выключен

Проверил с десяток различных установок (с панелями/без, различные ОС)

baas
На сайте с 17.09.2012
Offline
118
#4

А что не так с этим модулем mod_copy?

lonelywoolf
На сайте с 23.12.2013
Offline
151
#5

Mobiaaa, На этом сервере был включен. Но я не думаю, что в нём причина

---------- Добавлено 30.07.2019 в 14:53 ----------

baas, именно в нём недавно нашли знатную дыру.

lonelywoolf
На сайте с 23.12.2013
Offline
151
#6

здесь сообщалось о взломах CentOS 6/7. Сегодня написал человек, столкнувшийся с такой же проблемой на debian 9. Вектор атаки по прежнему не известен, кроме как установка тоже была с несвоевременными обновлениями (насколько я понял, было не обновлено ядро).

Данные были выкуплены, затребовали 7 тысяч рублей (в битках). Прислали расшифровщик - линуксовый бинарник, данные расшифрованы, скачаны, сервер отправлен на переустановку. Самого зловреда до сих пор нет. Как понял, злоумышленник оперативно отвечает на почту.

---------- Добавлено 04.09.2019 в 20:05 ----------

p.s. почта злоумышленника xijintao [цобакевич] tutanota.com

pupseg
На сайте с 14.05.2010
Offline
329
#7

зашифрованы все данные, значит привилегии рутовые.

Проскакивала несколько лет назад критическая уязвимость в isp manager 4. Детали не раскрывались, но позиционировалась, как крайне опасная.

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
suffix
На сайте с 26.08.2010
Offline
256
#8

Недавно была критическая уязвимость в exim - сейчас критическая уязвимость в dovecot - обе позволяют выполнить удалённо любой код без авторизации.

Клуб любителей хрюш (https://www.babai.ru)
lonelywoolf
На сайте с 23.12.2013
Offline
151
#9

UPD: расшифровщик оказался с руткитом. Файлы БД оказались битые в кашу, InnoDB практически не восстановим.

---------- Добавлено 05.09.2019 в 02:12 ----------

Естественно, привилегии рутовые. Dovecot крайне сложно использовать, кстати, уязвимость - маловероятно.

На тех серверах, которые были заражены до уязвимости Dovecot exim был обновлён !. ISPMAnager тоже обновлён. Хотя на всех заражённых серверах он стоял, да. Кроме ISPManager и roundcube железки ничего общего не имеют.

lonelywoolf
На сайте с 23.12.2013
Offline
151
#10

UPD. Один из клиентов переписываясь с хакером спросил, где была уязвимость. Хакер не раскрыл деталей, но сказал следующее:

Чтобы не встречаться со мной снова - своевременно обновляйте ПО
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий