Небольшая история моей беспечности и халатности.

Как-то наткнулся в сети на описание уязвимости в PHPMyAdmin, которая может предоставить злоумышленнику шанс завладеть сервером. По своей глупой беспечности подумал что это «не про меня» и «потом как-нибудь обновлю» т.к. был занят чем-то другим, но само собой разумеется, забыл об этом уже через 20 минут.

Забыл ровно до тех пор, пока не получил письмо с жалобами от саппорта одного из дата-центров, в котором хостятся мои сервачки. Письмо гласило о том, что с одного из моих серверов идут упорные атаки на ssh. Т.к. я таким не страдаю, ответ возник почти сразу же — меня взломали. Полез искать причину.

Системные логи и логи аутентификации чисты как совесть младенца… новых пользователей не обнаружилось… пароли все остались без изменений… хммм…ага…вот оно!! в списке процессов я увидел многократно строку:

www-data    /tmp/dd_ssh 200 192.0.2.20 2

Гугл сразу же ткнул меня носом в тот PHPmyAdmin, который я когда-то поленился обновить. Уязвимость есть в версиях ниже 2.11.9.1. Эксплоит, использующий данную уязвимость, позволяет получить доступ к серверу. Следами его работы являются файлы /tmp/dd_ssh и /tmp/vm.c.

Файлы удалил, процессы покилял, обновил PhpMyAdmin. В Дебиане это делается командой:

$ sudo apt-get update

$ sudo apt-get upgrade -y phpmyadmin

Советую сделать то же самое :) Т.к. данная зараза некисло распространилась  в последнее время и, как показывает опыт, может коснуться каждого.