Про злом серверів FirstVDS

Не так давно з'явилася примітка з розповіддю про великій кількості скомпрометованих серверів FirstVDS. Ми стрепенулися, провели власне розслідування по гарячих слідах, і хочемо розповісти про його результати.

Люди азартні, а деякі навіть занадто. Саме вони і поповнюють ряди клієнтів онлайн-казино. Зокрема, казино «Вулкан». Як і у всіх подібних закладах, там дуже люблять нових клієнтів. Тому «Вулкан» пропонує всім бажаючим взяти участь в їх реферального програми: ви нам клієнтів, а ми вам 5% від заробітку з них. Це приваблює деяких, не надто чистих на руку людей.

Правда, розвернутися дуже широко у них не виходить, тому що з 2014 року онлайн-казино в Росії заборонені. Від слова зовсім. Причому з 2015 року їх сайти розстрілюють блокують без суду і слідства. Тому методи залучення клієнтів використовуються далеко не охайні. Наприклад, можна підсаджувати спеціально навчені віруси на віртуальні сервери інтернет-магазинів і непомітно перенаправляти їх трафік на сайти онлайн-казино.

Влітку цього року один з клієнтів прислав нам лист, в якому поскаржився на злом його сервера. Ми знайшли постраждалих і розіслали їм повідомлення, в якому констатували факт зараження, пояснили, як це сталося і що з цим робити. Попросили оновитися. «Старий кінь борозни не зіпсує» — це не про індустрію програмного забезпечення, тут мотлох може все поле переорати.

На цьому заспокоїлися. Справа в тому, що ми пропонуємо сервери як є — з наявними у і без адміністрування. Наприклад, коли щось розкуповували машини з ОС FreeBSD 6, системою віртуалізації FreeBSD Jail і панеллю керування веб-хостингом ISPmanager 4.x. Ми вважаємо, що клієнти краще за нас знають, що їм дійсно потрібно. У тому числі — хочуть вони оновлювати ОС та інше, що стоїть на сервері. Чимало з наших клієнтів оновлюватися не поспішають. Чим і скористалися злодії — через дірки старого ЗА підсадили вірус, що направляє трафік зовсім не туди, куди слід.

Те ж саме сталося і з автором замітки, що стала приводом для цього оповідання. Виявивши у себе вірус cli.php, забезпечує трафіком онлайн-казино «Вулкан», він поцікавився, чи не самотній у своєму нещасті. Виявилося, що ні. Так виникла новину про 3000 зламаних сайтів на 1000 серверах. В ролі координатора вірусу виступив домен 0x31.ru, власник якого і отримував нетрудові доходи від реферального програми казино.

Природно, ми не змогли пройти повз такої звістки, і провели своє розслідування.

  • Проаналізували сервери зі старими OS: FreeBSD 6, FreeBSD 8, CentOS 5 і так далі.
  • Підключилися до тих серверів, до яких можна було підключитися (деякі клієнти закривають доступ до своїх серверів по IP).
  • Знайшли на цих серверах файл зловредів cli.php.
  • Порівняли дату створення та дату модифікації цього файлу (в 99% випадках вони співпали). Прийняли це значення за дату злому.
  • Для кожного файлу порахували контрольну суму MD5. Згрупували за контрольними сумами.
Будь-який власник VDS може самостійно перевірити свій сервер:

Freebsd:
find /home -name .cli.php

Linux:
find /var/www -name .cli.php


Все виявилося як у тому анекдоті: «жах, звичайно, але не жах-жах». Нам вдалося виявити домени, керуючі зловредів (сюди входить і вищезгаданий 0x31.ru). Також ми виявили 7 контрольних сум файлу cli.php, які розподілені наступним чином:

Контрольна сума Кількість заражених сайтів Частка від загальної кількості
MD5 1 644 33,82%
MD5 2 732 38,45%
MD5 3 2 0,1%
MD5 4 1 0,05%
MD5 5 69 3,62%
MD5 6 2 0,1%
MD5 7 454 23,85%
Загальна кількість інфікованих сайтів — 1904.

Далі ми отсортировали всі знайдені версії cli.php за датою зараження:

Рік Частка від загальної кількості
2009 0,45%
2010 2,59%
2011 4,22%
2012 14,89%
2013 13,39%
2014 5,94%
2015 6,8%
2016 51,7%
Те, що на цей рік припадає половина всіх заражень, пояснюється просто: це статистика станом на «сьогодні», а з 2009 року власники серверів встигли оновити ПЗ та видалити шкідник. До того ж нові клієнти постійно потрібні всім, у тому числі казино, так що вірус не встигає покритися пилом — інструмент затребуваний, не залежується. Хоча навіть якщо cli.php і знаходиться на сервері, то ще не факт, що той все ще заражений. заражений — так. А якщо власник VDS оновив і закрив уразливості, то і він перестав працювати.

Після цієї історії ми проявили ініціативу і оновили всім користувачам ISPmanager 4.x до останньої версії в цій гілці. У ній вже немає вищезгаданої уразливості.

Але все ж таки ще раз всім нагадаємо: частіше оновлюйте на серверах. Вони цього заслуговують.


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.