Сегодня ночью в нашей системе биллинга и поддержки клиентов WHMCS был открыт подозрительный тикет.
Указанный почтовый ящик явно левый, IP-адрес отправителя — Саудовская Аравия. Тело тикета пустое, а вот в теме оказалось кое-что интересное:
выпилено, т.к. поисковики ругаются на вредоносный код, несмотря на то, что здесь было приведено лишь самое начало зловреда
После раскодировки base64 в моих руках оказался обезвреженный зловредный скрипт. Пройдясь по его коду, я выявил, что он сначала пытается создать в определённой директории файл indexx.php, являющийся бэкдором и позволяющий злоумышленнику заливать любые файлы. Затем скрипт открывает базу данных, ищет свежесозданный тикет и удаляет его, скрывая тем самым свою деятельность.
Спросив у гугла, что всё это значит, стало ясно, что зловредный представитель страны ближнего востока пытался эксплуатировать уязвимость, патч для устранения которой был выпущен ещё 17 октября, и соответственно тогда же и был установлен у нас.
Мораль статьи такова: своевременно устанавливайте на своё ПО обновления и патчи, следите за их выпуском, подписывайтесь на рассылки производителя — и никакие арабские хакеры вас не достанут.
Обсуждение закрыто.