Пре неки дан форвардује ми наш админ мејл упозорења, право из RCUB-a, како један наш комп брутфорусује само тако. И то на ssh. А пре сам писао баш о програму којим се други штите… – испаде од тог нашег компа 🙂

Отворим лепо активне процесе, кад тамо имам шта да видим – лом покренутих процеса под именом dd_ssh трчи под налогом корисника веб-сервера! Леле,  прави полтергеист у меморији!!

Гуглнем ја мало да видим шта је и сконтам шта се догодило! Пре сам користио PhpMyAdmin и он је остао ту, у директоријуму веб-сервера. А та верзија је нека баш бушна, нападач може да убаци у /tmp фолдер тај неки проклети malware и да га покрене лепо и избомбардује кога хоће.

У питању је један повелики ботнет, чији део је поносно постао и наш сервер…

Укинем лепо Apache, поискључујем процесе, побришем PhpMyAdmin  и оне фајлове из /tmp и … мирна Бачка. Али не и савест..

Ајмо наравоученије…

1. Инсталирај само оно што ти баааш треба. А кад престане да треба, бриши.
2. Веб фолдере заштити бар основном аутентификацијом, а није лоше ни преименовати генеричке називе – нпр. PhpMyAdmin у phMA.
3. Ажурирај – систем, софтвере, све. Ако не можеш да испратиш шта све имаш, иди на 1.

BTW, детаљније о овом малверу погледајте овде.