Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 30.07.2019, 10:38   #1
Академик
 
Аватар для lonelywoolf
 
Регистрация: 23.12.2013
Сообщений: 1,013
Репутация: 39470
Отправить сообщение для lonelywoolf с помощью ICQ

По умолчанию Новый линукс-зловред, заражающий веб-серверы

Зловред примечателен тем, что не обнаруживается штатными антивирусами. Как он проникает на машинки - пока не ясно, но есть подозрения, что эксплойт применяется к Roundcube. Вобще обсуждались два вектора атаки: машины разработчиков, эксплойт для apache (с предварительным взломом уязвимого скрипта). Среди пострадавших есть серверы на CLoudLinux, CentOS, Debian.
Зловред создаёт файлик #README.lilocked (https://pastebin.com/XG45Nj8T), в котором злоумышленники извиняются и сообщают, что им нужно заплатить. Для этого предлагают зайти на *.onion-сайт. После удачного шифрования сервер был перезагружен, логи тоже оказались зашифрованы, а тело зловреда по всей видимости, удалено.

Собственно, всем причастным крайне желательно обновиться на последние версии программного обеспечения. Первые упоминания о заразе появились только в твиттере (других мне неизвестно) 20 июля. Если правильно задать запрос - появляются повреждённые сайты примерно 2 недели назад. Всем, кто обладает информацией - просьба поделиться с сообществом.
lonelywoolf вне форума   Ответить с цитированием

Реклама
Старый 30.07.2019, 10:55   #2
baas
Все хорошо!
 
Аватар для baas
 
Регистрация: 17.09.2012
Адрес: Россия
Сообщений: 614
Репутация: 33987
Отправить сообщение для baas с помощью ICQ Send Message via Jabber to baas

По умолчанию Re: Новый линукс-зловред, заражающий веб-серверы

То-есть на сервер он попадает через своих разработчиков?
То-есть с начало инфицируется машины разработчиков, после он попадает на сам сервер, так что ле?
__________________
Настройка BSD систем.
Знание сила, незнание Рабочая сила!
baas вне форума   Ответить с цитированием
Старый 30.07.2019, 11:03   #3
lonelywoolf
Академик
 
Аватар для lonelywoolf
 
Регистрация: 23.12.2013
Сообщений: 1,013
Репутация: 39470
Отправить сообщение для lonelywoolf с помощью ICQ

ТопикСтартер Re: Новый линукс-зловред, заражающий веб-серверы

baas, Пока не ясно, как он попадает, у нас есть клиент с такой проблемой, лишний раз убедились в полезности бэкапов. Вектора проникновения не нашли, на сервере было более 400 сайтов. Возможна и ручная работа, но подозрений - только машины разработчиков (маловероятно), ручками воспользовались CVE-2019-12815 в ProFTPd (окно в общем-то было), либо взломали какой-то сайт и повысили привилегии до рута эксплойтнув ядро или апач (известных уязвимостей этой конфигурации у нас нет).

---------- Добавлено 30.07.2019 в 13:06 ----------

Первое упоминание было от Michael Gillespie - достаточно известный борец с шифровальщиками, 20 июля. После - пара сообщений от разных людей, плюс вот наш клиент.
lonelywoolf вне форума   Ответить с цитированием
Сказали спасибо:
Старый 30.07.2019, 12:35   #4
Mobiaaa
Профессор
 
Регистрация: 17.09.2016
Сообщений: 799
Репутация: 63693
Отправить сообщение для Mobiaaa с помощью ICQ Отправить сообщение для Mobiaaa с помощью Skype™

По умолчанию Re: Новый линукс-зловред, заражающий веб-серверы

lonelywoolf, mod_copy по дефолту выключен
Проверил с десяток различных установок (с панелями/без, различные ОС)
Mobiaaa вне форума   Ответить с цитированием
Старый 30.07.2019, 12:47   #5
baas
Все хорошо!
 
Аватар для baas
 
Регистрация: 17.09.2012
Адрес: Россия
Сообщений: 614
Репутация: 33987
Отправить сообщение для baas с помощью ICQ Send Message via Jabber to baas

По умолчанию Re: Новый линукс-зловред, заражающий веб-серверы

А что не так с этим модулем mod_copy?
baas вне форума   Ответить с цитированием
Старый 30.07.2019, 12:50   #6
lonelywoolf
Академик
 
Аватар для lonelywoolf
 
Регистрация: 23.12.2013
Сообщений: 1,013
Репутация: 39470
Отправить сообщение для lonelywoolf с помощью ICQ

ТопикСтартер Re: Новый линукс-зловред, заражающий веб-серверы

Mobiaaa, На этом сервере был включен. Но я не думаю, что в нём причина

---------- Добавлено 30.07.2019 в 14:53 ----------

baas, именно в нём недавно нашли знатную дыру.
lonelywoolf вне форума   Ответить с цитированием
Старый 04.09.2019, 18:04   #7
lonelywoolf
Академик
 
Аватар для lonelywoolf
 
Регистрация: 23.12.2013
Сообщений: 1,013
Репутация: 39470
Отправить сообщение для lonelywoolf с помощью ICQ

ТопикСтартер Re: Новый линукс-зловред, заражающий веб-серверы

здесь сообщалось о взломах CentOS 6/7. Сегодня написал человек, столкнувшийся с такой же проблемой на debian 9. Вектор атаки по прежнему не известен, кроме как установка тоже была с несвоевременными обновлениями (насколько я понял, было не обновлено ядро).

Данные были выкуплены, затребовали 7 тысяч рублей (в битках). Прислали расшифровщик - линуксовый бинарник, данные расшифрованы, скачаны, сервер отправлен на переустановку. Самого зловреда до сих пор нет. Как понял, злоумышленник оперативно отвечает на почту.

---------- Добавлено 04.09.2019 в 20:05 ----------

p.s. почта злоумышленника xijintao [цобакевич] tutanota.com
lonelywoolf вне форума   Ответить с цитированием
Сказали спасибо:
Старый 04.09.2019, 20:55   #8
pupseg
Академик
 
Аватар для pupseg
 
Регистрация: 14.05.2010
Сообщений: 3,681
Репутация: 515397
Отправить сообщение для pupseg с помощью ICQ Отправить сообщение для pupseg с помощью Skype™

По умолчанию Re: Новый линукс-зловред, заражающий веб-серверы

зашифрованы все данные, значит привилегии рутовые.
Проскакивала несколько лет назад критическая уязвимость в isp manager 4. Детали не раскрывались, но позиционировалась, как крайне опасная.
__________________
Качественная помощь в обслуживании серверов.
Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы и полезные сайты.
pupseg вне форума   Ответить с цитированием
Сказали спасибо:
Старый 04.09.2019, 21:19   #9
suffix
Люблю хрюш
 
Аватар для suffix
 
Регистрация: 26.08.2010
Сообщений: 1,749
Репутация: 115607
Социальные сети Страница в Одноклассниках Профиль в ВКонтакте Профиль в LinkedIn

По умолчанию Re: Новый линукс-зловред, заражающий веб-серверы

Недавно была критическая уязвимость в exim - сейчас критическая уязвимость в dovecot - обе позволяют выполнить удалённо любой код без авторизации.
suffix вне форума   Ответить с цитированием
Сказали спасибо:
Старый 05.09.2019, 00:08   #10
lonelywoolf
Академик
 
Аватар для lonelywoolf
 
Регистрация: 23.12.2013
Сообщений: 1,013
Репутация: 39470
Отправить сообщение для lonelywoolf с помощью ICQ

ТопикСтартер Re: Новый линукс-зловред, заражающий веб-серверы

UPD: расшифровщик оказался с руткитом. Файлы БД оказались битые в кашу, InnoDB практически не восстановим.

---------- Добавлено 05.09.2019 в 02:12 ----------

Естественно, привилегии рутовые. Dovecot крайне сложно использовать, кстати, уязвимость - маловероятно.

На тех серверах, которые были заражены до уязвимости Dovecot exim был обновлён !. ISPMAnager тоже обновлён. Хотя на всех заражённых серверах он стоял, да. Кроме ISPManager и roundcube железки ничего общего не имеют.
lonelywoolf вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны