आज मैंने क्रोन में एक सर्वर पर नए कार्यों की खोज की, जिसने मुझे इस विषय पर समझना और समझना शुरू कर दिया।
खोज करने के बाद, मुझे आधिकारिक
समानता मंच में केवल एक उल्लेख मिला।
अब कई दिनों के लिए, जैसा कि लोगों ने शिकायत करना शुरू किया, तकनीकी सहायता पहले खारिज कर दी गई, लेकिन अब पूरी तरह से बंद हो गई।
ट्रोजन की खोज के बाद, मैंने इसका स्रोत कोड
पास्टबीन पर पोस्ट किया।
बहुत दिलचस्प स्क्रिप्ट, बॉटनेट का हिस्सा।
स्क्रिप्ट मुकुट में खुद को निर्धारित करती है, इस प्रकार:
`echo '* * * * * $^X $script_path detach >/dev/null 2>&1' > /tmp/cron.d; crontab /tmp/cron.d ; rm /tmp/cron.d`;फिर यह सर्वरों पर हमला करने के लिए कमांड प्राप्त करता है, और कई हमले विकल्प हैं। यदि रुचि है, तो स्रोत देखें। और हाँ, इसमें रूसी में टिप्पणियाँ हैं, अर्थात्, यह स्पष्ट है कि पैर कहाँ से बढ़ते हैं :)
छेद ही, जिसकी मदद से इसे प्लेस्क पैनल के फाइल मैनेजर में डाला गया था।
स्क्रिप्ट को अलग-अलग नामों और एक्सटेंशन के साथ / var / www / vhosts / DOMAINNAME / cgi-bin / में रखा गया है।
फिलहाल, फ़ायरवॉल के साथ स्प्लैश पैनल तक पहुंच को बंद कर दिया है, केवल परिचित पते छोड़कर। अभी तक कोई समाधान या पैच नहीं है। इसलिए यदि आपके पास छप पैनल है, तो सावधान रहें। शाखाएँ 9.5 और नीचे के प्रभावित हैं।
आप इस तरह अपने सर्वर पर उपस्थिति के लिए जाँच कर सकते हैं:
find /var/www/vhosts/[az]*/cgi-bin/*.pl -mmin -2880यदि आप एक्सटेंशन .pl के साथ असंगत फ़ाइलों की उपस्थिति देखते हैं, तो आप पहले ही संक्रमण को पकड़ चुके हैं।