Безопасность?

[apzero]

CentOS Linux release 7.9.2009 (Core) Данная версия не поддерживается более 2 лет.
Вы не указали какая у вас версия панели.

Я указал версию ведь панели и ОС на базе Ubuntu 24 с таким же вредоносом и свежей пакетной базой и которая поддерживается и ментейнером и видимо вами. Тоже вредонос и тоже такие же паттерны вредоносного трафика в то же время. В сообщении выше.

Если что-то другое надо показать - сообщите какие команды нужны дополнительно.

На всякий, дублирую еще раз со своего прошлого сообщения

Код: Выделить всё

root@267697:/var/spool/cron/crontabs# cat /etc/brainy/globals.php | grep CORE_VERSION
$GLOBALS['CORE_VERSION'] = "1.0982";

root@267697:/var/spool/cron/crontabs# lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 24.04.2 LTS
Release:	24.04
Codename:	noble
root@267697:/var/spool/cron/crontabs#

P.S: Как и ранее мы готовы поделитюся образами для анализа вашими разработчиками в своей среде. Образы формата qcow2.

[alenka]

Проверьте лог работы крон заданий, возможно там есть команды команды или задание.

[vladte02]

Добрый день! Сегодня хостинг-провайдер заблокировал наш VPS из-за сетевого флуда. Кроме того, сейчас я не могу войти ни в одну панель управления BrainyCP

[vladte02]

У нас была последняя версия панели и Ubuntu 24. В cron действительно появился какой-то файл перед этим (/etc/watchdog), и мы его удалили, но, скорее всего, было уже поздно. Сейчас ни одна панель Brainy не работает при входе по IP. Надеюсь, что появится какой-нибудь патч и вы расскажете, что делать в таком случае . Спасибо

[vladte02]

Ось файл який є зараз на серверах і я його не можу видалити через filezilla. Що мені робити в такому випадку? І як його почистити від всього після цього. Скоріше за все через цей файл я і не можу зайти в панель через IP

[alenka]

Работаем над устранением, ожидайте в обновлении

[jokero]

Watchdog (человек написал о нем выше), который размещается на сервере через уязвимость - это Backdoor/Trojan. Вот результаты сканирования этого файла через virustotal: https://www.virustotal.com/gui/file/097 ... 5693ab1831

Это значит, что все данные на сервере вероятнее всего скомпрометированы, но базово, что вы сейчас можете сделать это:

1. Зайти в /etc/crontab и удалить там строку: @reboot watchdog
1.2. Зайти в /etc/rc.local и удалить там строк watchdog
2. Удалить watchdog, который защищён от удаления. Выполнять из под рута:

Код: Выделить всё

sudo chattr -i -a watchdog watchdog.exe 2>/dev/null
sudo pkill -f watchdog
sudo rm -f watchdog watchdog.exe

3. Проверить работу CSF файрвола и закрыть порты 111, 1024:65535

Вероятнее всего придется полностью перебивать сервер, так как неизвестно где и что может быть еще. Но тут пусть уже лучше разработчики Brainycp подскажут.

[vladte02]

Спасибо огромное!

[alenka]

Уязвимость по crontab исправили, ожидайте обновление.