Ich habe grade die Mitteilung von einem Kunden erhalten, dass sein Linux Plesk Hostingserver massiv überlastet ist. in.proftpd Prozesse lasteten die CPU des Systems so aus, dass der Load auf über 40 nach oben schoss.
Ein ps aux zeigte Prozesse mit den Namen httpd, apache die vom Verzeichnis /tmp/.ICE-unix/.root aus gestartet wurden. Diese öffneten eine IRC Verbindung zu einem Server um von dort aus "Mitglied" eines Botnetzes zu werden.
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
perl 19715 root cwd DIR 9,0 4096 54214771 /tmp/.ICE-unix/.root
perl 19715 root rtd DIR 9,0 4096 2 /
perl 19715 root txt REG 9,0 1253828 7983805 /usr/bin/perl
perl 19715 root mem REG 9,0 41631748 /lib/i686/cmov/libresolv-2.7.so (path inode=41633634)
perl 19715 root mem REG 9,0 41631755 /lib/i686/cmov/libnss_dns-2.7.so (path inode=41633648)
perl 19715 root mem REG 9,0 41631757 /lib/i686/cmov/libnss_files-2.7.so (path inode=41633630)
perl 19715 root mem REG 9,0 19816 8144232 /usr/lib/perl/5.10.0/auto/Socket/Socket.so
perl 19715 root mem REG 9,0 41631753 /lib/i686/cmov/libcrypt-2.7.so (path inode=41633627)
perl 19715 root mem REG 9,0 41631762 /lib/i686/cmov/libc-2.7.so (path inode=41633638)
perl 19715 root mem REG 9,0 41631754 /lib/i686/cmov/libpthread-2.7.so (path inode=41633647)
perl 19715 root mem REG 9,0 41631752 /lib/i686/cmov/libm-2.7.so (path inode=41633631)
perl 19715 root mem REG 9,0 41631756 /lib/i686/cmov/libdl-2.7.so (path inode=41633640)
perl 19715 root mem REG 9,0 16548 8144230 /usr/lib/perl/5.10.0/auto/IO/IO.so
perl 19715 root mem REG 9,0 41615628 /lib/ld-2.7.so (path inode=41615384)
perl 19715 root 0u IPv4 112238056 TCP xxx.de:58255->ichsuchesex.info:45295 (CLOSE_WAIT)
perl 19715 root 1u IPv4 112238056 TCP xxx.de:58255->ichsuchesex.info:45295 (CLOSE_WAIT)
perl 19715 root 2u IPv4 112238056 TCP xxx.de:58255->ichsuchesex.info:45295 (CLOSE_WAIT)
perl 19715 root 3u IPv4 112239334 TCP xxx.de:38139->ns.free-vidz.com:ircd (ESTABLISHED)
perl 19715 root 4u REG 9,0 49416 46776325 /var/run/proftpd_scoreboard
perl 19715 root 5u IPv4 112238056 TCP xxx.de:58255->ichsuchesex.info:45295 (CLOSE_WAIT)
Die Hacker nutzen dabei folgende Lücke aus: http://bugs.proftpd.org/show_bug.cgi?id=3521
Das miese an der Geschichte ist, dass die Hacker dadurch sofort root Rechte auf dem System hatten.
Da das Paket psa-proftpd von Plesk direkt bereitgestellt wird und nichts mir der Distribution zu tun hat, muss man das Update über die Plesk Oberfläche einspielen. Es sind alle Plesk Versionen von 9.5.x bis 10.x betroffen. Dazu existiert bereits eine Nachricht auf der Parallels Webseite: http://www.parallels.com/de/products/plesk/ProFTPD
Also wirklich dringend Updaten, die Lücke wird bereits automatisiert genutzt und ein Angreifer erhält root Rechte.