Турки похакали несколько сателлит

Категория: / DEV Блог / Разное
Пару дней назад на сервер осуществили набег турецкие хакеры и вынесли несколько сателлит на джумле.



Сначала грешил на proftpd, в нем недавно опять нашли неприятную уязвимость.
Решил обновиться (http://www.freebsd.org/ports/portaudit/0f51f2c9-8956-11dd-a6fe-0030843d3802.html)
#portupgrade proftpd-1.3.1_14
Problem with makeinfo when I'm building devel/autoconf-262
makeinfo: Removing output file `autoconf-2.62.info' due to errors; use --force to preserve.

Подстава, ребята сменили версию автомейка? Автоконф 262 в ручную собираться тоже не хочет.. Фряшка 5ая - старая видимо.
Идем в /usr/ports/devel/autoconf262/doc/Makefile
Добавляем, что просят:
AM_MAKEINFOFLAGS = --no-split --force
После этих манипуляций получаем пропатченный proftpd-1.3.2.r2_1.

Проанализировав фтпшные логи, также last-лог был сделан вывод что последнее время с левых адресов/пользователей ничего на сервер не заливалось.
Идем читать хттпшные логи. На одном сайте светится некий htss.php. Ясно - шелл.

Заходим главную страницу сайта - видим шелл). Заменен файл /templates/used/index.php.
На дефейснутых сайтах изменены файлы index.php и config.php, так как на них были выставлены совсем несекьюрные права 777.

IP адреса, с которых производили нежелательные действия - 82.80.154.77, 82.80.140.73, 82.80.130.179
Джумла - обновлена. Будьте бдительны с правами на файлы!