Kan dit tegenwoordig nog kwaad op een cpanel server?
Vannacht probeerden hackers in te breken op onze cpanel server. Gelukkig had csf en maldet het snel genoeg in de gaten.
Dus files gewist en account waarvan het geprobeerd werd suspended.
Maar in het geheugen bleef nobody toch nog mooi een r00t.pl draaien die via wget dit hackscript probeerde te halen:
http://pastebin.com/hxKynFxR
Na een herstart van httpd en een kill van de wget was het over. Meteen ook wget beveiligd.
Deze cpanel server draait helaas niet op mod_ruid2 (is nog niet stabiel in cpanel dacht ik) maar ook niet op suphp omdat de eigenaar dat nog steeds niet wil ondanks mijn herhaalde waarschuwingen en aandringen.
Met als gevolg de nodige scripts met 777 directory's enzo en alle gevolgen van dien. 1x lek scriptje en je kunt leuke malware scriptjes als nobody draaien.
Ik ben in niet zo thuis in scripting, maar het is al een dingtje uit 2012. Men zou er root toegang mee kunnen krijgen, kan dat nog?
http://pastebin.com/hxKynFxR
Ik neem aan dat er weinig tegen te doen is zonder mod_ruid of suphp? Ik heb zelfs bij lekke scripts en mod_ruid2 nog soortgelijke grappen zien gebeuren.