Технологии безопасности

Сайт посвященный вопросам безопасности

О взломе серверов FirstVDS

Не так давно появилась заметка с рассказом о большом количестве скомпрометированных серверов FirstVDS. Мы встрепенулись, провели собственное расследование по горячим следам, и хотим рассказать о его результатах.

Люди азартны, а некоторые даже слишком. Они-то и пополняют ряды клиентов онлайн-казино. В частности, казино «Вулкан». Как и во всех подобных заведениях, там очень любят новых клиентов. Потому «Вулкан» предлагает всем желающим поучаствовать в их реферальной программе: вы нам клиентов, а мы вам 5% от заработка с них. Это привлекает некоторых, не слишком чистых на руку людей.

Правда, развернуться слишком широко у них не получается, потому что с 2014 года онлайн-казино в России запрещены. От слова совсем. Причём с 2015 года их сайты расстреливают блокируют без суда и следствия. Поэтому методы привлечения клиентов используются далеко не чистоплотные. Например, можно подсаживать специально обученные вирусы на виртуальные серверы интернет-магазинов и незаметно перенаправлять их трафик на сайты онлайн-казино.

Летом этого года один из клиентов прислал нам письмо, в котором пожаловался на взлом его сервера. Мы нашли пострадавших и разослали им сообщение, в котором констатировали факт заражения, объяснили, как это произошло и что с этим делать. Попросили обновиться. «Старый конь борозды не испортит» — это не про индустрию программного обеспечения, тут старьё может всё поле перепахать.

На этом успокоились. Дело в том, что мы предлагаем серверы как есть — с имеющимся в наличии ПО и без администрирования. Например, когда-то раскупали машины с ОС FreeBSD 6, системой виртуализации FreeBSD Jail и панелью управления веб-хостингом ISPmanager 4.x. Мы считаем, что клиенты лучше нас знают, что им действительно нужно. В том числе — хотят ли они обновлять ОС и прочее ПО, которое стоит на сервере. Немало из наших клиентов обновляться не торопятся. Чем и воспользовались взломщики — через дыры старого ПО подсадили вирус, направляющий трафик совсем не туда, куда следует.

То же самое случилось и с автором заметки, ставшей поводом для этого рассказа. Обнаружив у себя вирус cli.php, снабжающий трафиком онлайн-казино «Вулкан», он поинтересовался, не одинок ли в своём несчастье. Оказалось, что нет. Так возникла новость про 3000 взломанных сайтов на 1000 серверах. В роли координатора вируса выступил домен 0x31.ru, владелец которого и получал нетрудовые доходы от реферальной программы казино.

Естественно, мы не смогли пройти мимо такого известия, и провели своё расследование.

Проанализировали серверы со старыми OS: FreeBSD 6, FreeBSD 8, CentOS 5 и так далее.
Подключились к тем серверам, к которым можно было подключиться (некоторые клиенты закрывают доступ к своим серверам по IP).
Нашли на этих серверах файл зловреда cli.php.
Сравнили дату создания и дату модификации этого файла (в 99% случаях они совпали). Приняли это значение за дату взлома.
Для каждого файла посчитали контрольную сумму MD5. Сгруппировали по контрольным суммам.

Любой владелец VDS может самостоятельно проверить свой сервер:

Freebsd: find /home -name .cli.php
Linux: find /var/www -name .cli.php

Всё оказалось как в том анекдоте: «ужас, конечно, но не ужас-ужас». Нам удалось выявить домены, управляющие зловредами (сюда входит и вышеупомянутый 0x31.ru). Также мы обнаружили 7 контрольных сумм файла cli.php, которые распределены следующим образом:

Контрольная сумма
Количество заражённых сайтов
Доля от общего количества

MD5 1
644
33,82%

MD5 2
732
38,45%

MD5 3
2
0,1%

MD5 4
1
0,05%

MD5 5
69
3,62%

MD5 6
2
0,1%

MD5 7
454
23,85%

Общее количество инфицированных сайтов — 1904.

Далее мы отсортировали все найденные версии cli.php по дате заражения:

Год
Доля от общего количества

2009
0,45%

2010
2,59%

2011
4,22%

2012
14,89%

2013
13,39%

2014
5,94%

2015
6,8%

2016
51,7%

То, что на этот год приходится половина всех заражений, объясняется просто: это статистика по состоянию на «сегодня», а с 2009 года владельцы серверов успели обновить ПО и удалить зловред. К тому же новые клиенты постоянно нужны всем, в том числе и казино, так что вирус не успевает покрыться пылью — инструмент востребованный, не залёживается. Хотя даже если cli.php и находится на сервере, то ещё не факт, что тот всё ещё заражён. Был заражён — да. А если владелец VDS обновил ПО и закрыл уязвимости, то и зловред перестал работать.

После этой истории мы проявили инициативу и обновили всем пользователям ISPmanager 4.x до последней версии в этой ветке. В ней уже нет вышеупомянутой уязвимости.

Но всё же ещё раз всем напомним: почаще обновляйте ПО на серверах. Они этого заслуживают.