Хакеры массово взламывают Linux-серверы с установленным CWP

Исследователи Juniper и Qihoo 360 обнаружили новый тип хакерской атаки — злоумышленники ищут в интернете серверы с установленным CWP. Затем, используя старую уязвимость, устанавливают на них бэкдор и руткит.

Как происходит взлом?

Хакеры взламывают Control Web Panel — так раньше называлась CentOS Web Panel. Многие веб-хостинговые компании и крупный бизнес используют этот инструмент для хостинга и управления масштабной серверной инфраструктурой.

Далее злоумышленники используют эксплоит для старой уязвимости и через него «пробираются» в панель администрирования. Через неё они устанавливает бэкдор Facefish. С его помощью они собирают информацию об устройстве, а также выполняют произвольные команды и крадут SSH-данные с инфицированного хоста.

Что ещё известно о серии взломов?

С начала атаки было обнаружено множество заражённых устройств. Но несмотря на это, на них нет практически никакой посторонней активности. По мнению специалистов Jupiter, это связано с тем, что хакеры пытались создать ботнет.

Таким образом, заражённые устройства планировалось использовать для продажи доступа к ним и их мощностям.

Как защититься?

В Juniper и Qihoo 360 не стали сообщать CVE-идентификатор уязвимости. Вместо этого они создали свои эксплоиты, которые всем желающим предлагается проанализировать и настроить в своих межсетевых экранах соответствующие политики для защиты от возможных кибератак, сообщает SecurityLab.

Источник: SecurityLab