- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Зловред примечателен тем, что не обнаруживается штатными антивирусами. Как он проникает на машинки - пока не ясно, но есть подозрения, что эксплойт применяется к Roundcube. Вобще обсуждались два вектора атаки: машины разработчиков, эксплойт для apache (с предварительным взломом уязвимого скрипта). Среди пострадавших есть серверы на CLoudLinux, CentOS, Debian.
Зловред создаёт файлик #README.lilocked (https://pastebin.com/XG45Nj8T), в котором злоумышленники извиняются и сообщают, что им нужно заплатить. Для этого предлагают зайти на *.onion-сайт. После удачного шифрования сервер был перезагружен, логи тоже оказались зашифрованы, а тело зловреда по всей видимости, удалено.
Собственно, всем причастным крайне желательно обновиться на последние версии программного обеспечения. Первые упоминания о заразе появились только в твиттере (других мне неизвестно) 20 июля. Если правильно задать запрос - появляются повреждённые сайты примерно 2 недели назад. Всем, кто обладает информацией - просьба поделиться с сообществом.
То-есть на сервер он попадает через своих разработчиков?
То-есть с начало инфицируется машины разработчиков, после он попадает на сам сервер, так что ле?
baas, Пока не ясно, как он попадает, у нас есть клиент с такой проблемой, лишний раз убедились в полезности бэкапов. Вектора проникновения не нашли, на сервере было более 400 сайтов. Возможна и ручная работа, но подозрений - только машины разработчиков (маловероятно), ручками воспользовались CVE-2019-12815 в ProFTPd (окно в общем-то было), либо взломали какой-то сайт и повысили привилегии до рута эксплойтнув ядро или апач (известных уязвимостей этой конфигурации у нас нет).
---------- Добавлено 30.07.2019 в 13:06 ----------
Первое упоминание было от Michael Gillespie - достаточно известный борец с шифровальщиками, 20 июля. После - пара сообщений от разных людей, плюс вот наш клиент.
lonelywoolf, mod_copy по дефолту выключен
Проверил с десяток различных установок (с панелями/без, различные ОС)
А что не так с этим модулем mod_copy?
Mobiaaa, На этом сервере был включен. Но я не думаю, что в нём причина
---------- Добавлено 30.07.2019 в 14:53 ----------
baas, именно в нём недавно нашли знатную дыру.
здесь сообщалось о взломах CentOS 6/7. Сегодня написал человек, столкнувшийся с такой же проблемой на debian 9. Вектор атаки по прежнему не известен, кроме как установка тоже была с несвоевременными обновлениями (насколько я понял, было не обновлено ядро).
Данные были выкуплены, затребовали 7 тысяч рублей (в битках). Прислали расшифровщик - линуксовый бинарник, данные расшифрованы, скачаны, сервер отправлен на переустановку. Самого зловреда до сих пор нет. Как понял, злоумышленник оперативно отвечает на почту.
---------- Добавлено 04.09.2019 в 20:05 ----------
p.s. почта злоумышленника xijintao [цобакевич] tutanota.com
зашифрованы все данные, значит привилегии рутовые.
Проскакивала несколько лет назад критическая уязвимость в isp manager 4. Детали не раскрывались, но позиционировалась, как крайне опасная.
Недавно была критическая уязвимость в exim - сейчас критическая уязвимость в dovecot - обе позволяют выполнить удалённо любой код без авторизации.
UPD: расшифровщик оказался с руткитом. Файлы БД оказались битые в кашу, InnoDB практически не восстановим.
---------- Добавлено 05.09.2019 в 02:12 ----------
Естественно, привилегии рутовые. Dovecot крайне сложно использовать, кстати, уязвимость - маловероятно.
На тех серверах, которые были заражены до уязвимости Dovecot exim был обновлён !. ISPMAnager тоже обновлён. Хотя на всех заражённых серверах он стоял, да. Кроме ISPManager и roundcube железки ничего общего не имеют.
UPD. Один из клиентов переписываясь с хакером спросил, где была уязвимость. Хакер не раскрыл деталей, но сказал следующее: