Безопасность?

Все остальные вопросы
Ответить
adamzolo
Сообщения: 10
Зарегистрирован: Вс апр 28, 2019 6:31 am

Безопасность?

Сообщение adamzolo » Ср апр 29, 2026 7:19 pm

прилетела жалоба от ДЦ на DDoS по UDP 65535
атака прошла со всех серверов с панелью brainy cp
Обьясните?)
Вернуться к началу
adamzolo
Сообщения: 10
Зарегистрирован: Вс апр 28, 2019 6:31 am

Re: Безопасность?

Сообщение adamzolo » Ср апр 29, 2026 8:05 pm

https://www.cvedetails.com/cve/CVE-2023-53945/
Вернуться к началу
apzero
Сообщения: 3
Зарегистрирован: Чт апр 30, 2026 8:05 am

Re: Безопасность?

Сообщение apzero » Чт апр 30, 2026 8:14 am

Я один из SysOp команды крупного европейского хостера и подтверждаю проблему. Вчера с 19:20 до 20:20 было 2 волны исходящих атак с VPS на которых установлена BrainyCP. Сегодня аналогичный паттерн трафика был около 10 утра по Киеву и все с тех же серверов по brainyCP. Все они действительно идут по UDP на удаленный порт 65535. География (т.е где размещен сервер) не играет роли.

Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Вернуться к началу
Аватара пользователя
alenka
Сообщения: 2563
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: Безопасность?

Сообщение alenka » Чт апр 30, 2026 10:48 am

adamzolo писал(а):
Ср апр 29, 2026 8:05 pm
 https://www.cvedetails.com/cve/CVE-2023-53945/
Пользователь в jail?
Если да, покажите задание в файле /var/spool/cron/USER
Вернуться к началу
Аватара пользователя
alenka
Сообщения: 2563
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: Безопасность?

Сообщение alenka » Чт апр 30, 2026 10:54 am

apzero писал(а):
Чт апр 30, 2026 8:14 am
 Я один из SysOp команды крупного европейского хостера и подтверждаю проблему. Вчера с 19:20 до 20:20 было 2 волны исходящих атак с VPS на которых установлена BrainyCP. Сегодня аналогичный паттерн трафика был около 10 утра по Киеву и все с тех же серверов по brainyCP. Все они действительно идут по UDP на удаленный порт 65535. География (т.е где размещен сервер) не играет роли.

Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Покажите логи, крон задания.
Вернуться к началу
adamzolo
Сообщения: 10
Зарегистрирован: Вс апр 28, 2019 6:31 am

Re: Безопасность?

Сообщение adamzolo » Чт апр 30, 2026 11:44 am

Пользователи были в jail.

lrwxrwxrwx 1 root root 0 Apr 29 16:13 /proc/669/exe -> /etc/watchdog


[root@vps ~]# stat /etc/watchdog
File: ‘/etc/watchdog’
Size: 294856 Blocks: 576 IO Block: 4096 regular file
Device: fd01h/64769d Inode: 93130 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-04-29 16:13:35.315111136 -0400
Modify: 2026-04-29 12:14:10.057399310 -0400
Change: 2026-04-29 12:14:10.057399310 -0400
Birth: -

Birth: -
[root@vps ~]# cat /proc/669/cmdline | tr '\\0' ' '
/etc/watchdog [root@vps ~]#
/etc/watchdog [root@vps ~]# ls -la /proc/669/fd/
total 0
dr-x------ 2 root root 0 Apr 29 16:13 .
dr-xr-xr-x 9 root root 0 Apr 29 16:13 ..
lr-x------ 1 root root 64 Apr 29 16:13 0 -> pipe:[18036]
l-wx------ 1 root root 64 Apr 29 16:13 1 -> pipe:[18037]
l-wx------ 1 root root 64 Apr 29 16:13 2 -> pipe:[18037]
[root@vps ~]# cat /proc/669/maps
08048000-0808c000 r-xp 00000000 fd:01 93130 /etc/watchdog
0808c000-08091000 rw-p 00043000 fd:01 93130 /etc/watchdog
08091000-080a9000 rw-p 00000000 00:00 0
09189000-0918a000 rw-p 00000000 00:00 0 [heap]
f77a9000-f77aa000 r-xp 00000000 00:00 0 [vdso]
ff8ef000-ff910000 rw-p 00000000 00:00 0 [stack]
Вернуться к началу
apzero
Сообщения: 3
Зарегистрирован: Чт апр 30, 2026 8:05 am

Re: Безопасность?

Сообщение apzero » Чт апр 30, 2026 11:57 am

alenka писал(а):
Чт апр 30, 2026 10:54 am
apzero писал(а):
Чт апр 30, 2026 8:14 am
 Я один из SysOp команды крупного европейского хостера и подтверждаю проблему. Вчера с 19:20 до 20:20 было 2 волны исходящих атак с VPS на которых установлена BrainyCP. Сегодня аналогичный паттерн трафика был около 10 утра по Киеву и все с тех же серверов по brainyCP. Все они действительно идут по UDP на удаленный порт 65535. География (т.е где размещен сервер) не играет роли.

Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Покажите логи, крон задания.
Я взял 2 рандомных сервера. От root только

Код: Выделить всё

[root@228609 cron]# cat root
*/1 * * * * /usr/local/brainycp//src/compiled/php5/bin/php -q /usr/local/brainycp//scripts/cron_exec.php >/dev/null 2>/dev/null
@reboot /etc/watchdog
[root@228609 cron]#
Но на 2-х серверах в одно и то же время была модификация этого файла. Это разные сервера, разных клиентов в разных ДЦ и проектами. Совпадение практически 0.

Код: Выделить всё

[root@228609 cron]# stat root  |grep Modi
Modify: 2026-04-29 19:12:06.044553407 +0300
[root@228609 cron]#
Разница в модификации буквально 20 секунд. Напомню, что примерно в 19.20 наша система начала ловить аномалии трафика. Т.е очень похоже что все же там что-то было.

Авторизаций по SSH не было или они "потерты" выборочно. Есть только клиентские по ключам и с его IP.

По поводу /etc/watchdog то да, и у нас есть и время сходится с модификацией cron файла root

Код: Выделить всё

[root@228609 brainy]# stat /etc/watchdog
  File: ‘/etc/watchdog’
  Size: 294856    	Blocks: 576        IO Block: 4096   regular file
Device: fd01h/64769d	Inode: 157240      Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2026-04-30 14:54:18.106746237 +0300
Modify: 2026-04-29 19:12:06.042553396 +0300
Change: 2026-04-29 19:12:06.042553396 +0300
 Birth: -
[root@228609 brainy]# md5sum /etc/watchdog
caa3171d1d173ed29685e68703901c01  /etc/watchdog
[root@228609 brainy]#
Вернуться к началу
Аватара пользователя
alenka
Сообщения: 2563
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: Безопасность?

Сообщение alenka » Чт апр 30, 2026 12:48 pm

Какая у вас версия панели?
Какая ос?
Это правило уже как 2 года в файле /etc/crontab
*/1 * * * * /usr/local/brainycp//src/compiled/php5/bin/php -q /usr/local/brainycp//scripts/cron_exec.php >/dev/null 2>/dev/null
Вернуться к началу
apzero
Сообщения: 3
Зарегистрирован: Чт апр 30, 2026 8:05 am

Re: Безопасность?

Сообщение apzero » Чт апр 30, 2026 1:22 pm

alenka писал(а):
Чт апр 30, 2026 12:48 pm
 Какая у вас версия панели?
Какая ос?
Это правило уже как 2 года в файле /etc/crontab
*/1 * * * * /usr/local/brainycp//src/compiled/php5/bin/php -q /usr/local/brainycp//scripts/cron_exec.php >/dev/null 2>/dev/null
Я проверил 2 клиентских сервера. Но сделаем больше выборку. Но именно в моем примере выше это

Код: Выделить всё

CentOS Linux release 7.9.2009 (Core)
$GLOBALS['CORE_VERSION'] = 1.0935;
В /etc/crontab если что, тоже watchdog прописан

Код: Выделить всё

[root@228609 /]# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root

# For details see man 4 crontabs

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name  command to be executed

@reboot root /etc/watchdog
[root@228609 /]# stat /etc/crontab
  File: ‘/etc/crontab’
  Size: 479       	Blocks: 8          IO Block: 4096   regular file
Device: fd01h/64769d	Inode: 131634      Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2026-04-29 19:13:01.046882466 +0300
Modify: 2026-04-29 19:12:06.042553396 +0300
Change: 2026-04-29 19:12:06.042553396 +0300
 Birth: -
[root@228609 /]#
Есть 3 сервер. Он тоже замечен в аномльном трафике в тоже время что и 2 выше. На нем уже Ubuntu с включенным unattended-upgrade. И на нем тоже есть вредонос watchdog. Окружение ниже

Код: Выделить всё

root@267697:/var/spool/cron/crontabs# cat /etc/brainy/globals.php | grep CORE_VERSION
$GLOBALS['CORE_VERSION'] = "1.0982";
root@267697:/var/spool/cron/crontabs# lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 24.04.2 LTS
Release:	24.04
Codename:	noble
root@267697:/var/spool/cron/crontabs#
А вредонос на Ubuntu размещают по другому

Код: Выделить всё

root@267697:/etc# stat /etc/rc.local
  File: /etc/rc.local
  Size: 4144      	Blocks: 16         IO Block: 4096   regular file
Device: 253,1	Inode: 695909      Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2026-04-30 13:16:52.380647129 +0000
Modify: 2026-04-29 16:12:30.454923183 +0000
Change: 2026-04-29 16:12:30.454923183 +0000
 Birth: 2025-07-29 11:00:14.321027706 +0000
root@267697:/etc# head -10 /etc/rc.local
#!/bin/bash
/etc/watchdog


sleep 15

sleep 15
umount -l /home/admin/var/run/mysqld
umount -f /home/admin/var/run/mysqld
mount --bind /var/run/mysqld /home/admin/var/run/mysqld
root@267697:/etc# md5sum /etc/watchdog
caa3171d1d173ed29685e68703901c01  /etc/watchdog
root@267697:/etc#
Время тут UTC. Но если перевести то этот, 3-й сервер что я говорю тоже модифицирован считай в одно время как и с другими и с коллегой сообщениями выше.

P.S: Если что - это не наши по сути сервера, а клиентов. Мы лишь заметили аномалию трафика и провели внутренний аудит. За апгрейдами клиентских машин мы не следим ;)
P.S.S: У коллег в другой компании - ситуация с исходящим ddos аналогичная и по времени совпадает (один из крупных Украинских хостеров). С топик-статером я не связан (мы не присылали еще жалобы нашим клиентам пока что). Поэтому, можно считать что 3 разных компании как минимум это заметили.
P.S.S.S: Плюс, мы не используем какие-либо популярные вещи вроде proxmox, whcms и прочего в своей инфраструктуре. А пишем все сами. Поэтому, влияние через какую-либо публичную софтину - минимально. Образы для своего облака мы сами собираем через packer регулярно используя скрипты только с вашего сайта.
Вернуться к началу
Ответить

Вернуться в «Общее»