Выявлен червь, использующий уязвимость в панели управления хостингом Parallels PleskПользователи панели управления хостингом Parallels Plesk отмечают факты появления на серверах вредоносного ПО, проникающего через уязвимость в web-интерфейсе файлового менеджера, поставляемого в составе панели. После эксплуатации уязвимости в директории /var/www/vhosts/DOMAINNAME/cgi-bin/ размещается скрипт на языке Perl (имя выбирается случайно), который прописывается в cron. Проблема подвержены версии Plesk с 7.6.1 по 10.3.1. Исправление с устранением уязвимости пока не выпущено. Для устранения проблемы рекомендуется временно ограничить доступ к web-панели. Код скрипта можно посмотреть на pastebin, судя по комментариям на русском языке он разработан нашими соотечественниками. Скрипт подключает сервер жертвы к ботнет сети, используемой для проведения DDoS-атак. Поддерживается работа в роли прокси и несколько режимов атак, команды по проведению которых принимаются с нескольких управляющих серверов. Проверить наличие вредоносного скрипта можно оценив наличие в директории /var/www/vhosts/[a-z">*/cgi-bin/ странных имен файлов с расширением ".pl" и недавней датой модификации. Дополнение: Компания Parallels выпустила обновления с исправлением уязвимости (Plesk 8.6 MU#2, 9.5 MU#11, 10.3 MU#5).
Распечатано с HostDB.ru.
|