прилетела жалоба от ДЦ на DDoS по UDP 65535
атака прошла со всех серверов с панелью brainy cp
Обьясните?)
Безопасность?
Re: Безопасность?
Я один из SysOp команды крупного европейского хостера и подтверждаю проблему. Вчера с 19:20 до 20:20 было 2 волны исходящих атак с VPS на которых установлена BrainyCP. Сегодня аналогичный паттерн трафика был около 10 утра по Киеву и все с тех же серверов по brainyCP. Все они действительно идут по UDP на удаленный порт 65535. География (т.е где размещен сервер) не играет роли.
Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Re: Безопасность?
Пользователь в jail?
Если да, покажите задание в файле /var/spool/cron/USER
Re: Безопасность?
Покажите логи, крон задания.apzero писал(а): ↑Чт апр 30, 2026 8:14 amЯ один из SysOp команды крупного европейского хостера и подтверждаю проблему. Вчера с 19:20 до 20:20 было 2 волны исходящих атак с VPS на которых установлена BrainyCP. Сегодня аналогичный паттерн трафика был около 10 утра по Киеву и все с тех же серверов по brainyCP. Все они действительно идут по UDP на удаленный порт 65535. География (т.е где размещен сервер) не играет роли.
Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Re: Безопасность?
Пользователи были в jail.
lrwxrwxrwx 1 root root 0 Apr 29 16:13 /proc/669/exe -> /etc/watchdog
[root@vps ~]# stat /etc/watchdog
File: ‘/etc/watchdog’
Size: 294856 Blocks: 576 IO Block: 4096 regular file
Device: fd01h/64769d Inode: 93130 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-04-29 16:13:35.315111136 -0400
Modify: 2026-04-29 12:14:10.057399310 -0400
Change: 2026-04-29 12:14:10.057399310 -0400
Birth: -
Birth: -
[root@vps ~]# cat /proc/669/cmdline | tr '\\0' ' '
/etc/watchdog [root@vps ~]#
/etc/watchdog [root@vps ~]# ls -la /proc/669/fd/
total 0
dr-x------ 2 root root 0 Apr 29 16:13 .
dr-xr-xr-x 9 root root 0 Apr 29 16:13 ..
lr-x------ 1 root root 64 Apr 29 16:13 0 -> pipe:[18036]
l-wx------ 1 root root 64 Apr 29 16:13 1 -> pipe:[18037]
l-wx------ 1 root root 64 Apr 29 16:13 2 -> pipe:[18037]
[root@vps ~]# cat /proc/669/maps
08048000-0808c000 r-xp 00000000 fd:01 93130 /etc/watchdog
0808c000-08091000 rw-p 00043000 fd:01 93130 /etc/watchdog
08091000-080a9000 rw-p 00000000 00:00 0
09189000-0918a000 rw-p 00000000 00:00 0 [heap]
f77a9000-f77aa000 r-xp 00000000 00:00 0 [vdso]
ff8ef000-ff910000 rw-p 00000000 00:00 0 [stack]
lrwxrwxrwx 1 root root 0 Apr 29 16:13 /proc/669/exe -> /etc/watchdog
[root@vps ~]# stat /etc/watchdog
File: ‘/etc/watchdog’
Size: 294856 Blocks: 576 IO Block: 4096 regular file
Device: fd01h/64769d Inode: 93130 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-04-29 16:13:35.315111136 -0400
Modify: 2026-04-29 12:14:10.057399310 -0400
Change: 2026-04-29 12:14:10.057399310 -0400
Birth: -
Birth: -
[root@vps ~]# cat /proc/669/cmdline | tr '\\0' ' '
/etc/watchdog [root@vps ~]#
/etc/watchdog [root@vps ~]# ls -la /proc/669/fd/
total 0
dr-x------ 2 root root 0 Apr 29 16:13 .
dr-xr-xr-x 9 root root 0 Apr 29 16:13 ..
lr-x------ 1 root root 64 Apr 29 16:13 0 -> pipe:[18036]
l-wx------ 1 root root 64 Apr 29 16:13 1 -> pipe:[18037]
l-wx------ 1 root root 64 Apr 29 16:13 2 -> pipe:[18037]
[root@vps ~]# cat /proc/669/maps
08048000-0808c000 r-xp 00000000 fd:01 93130 /etc/watchdog
0808c000-08091000 rw-p 00043000 fd:01 93130 /etc/watchdog
08091000-080a9000 rw-p 00000000 00:00 0
09189000-0918a000 rw-p 00000000 00:00 0 [heap]
f77a9000-f77aa000 r-xp 00000000 00:00 0 [vdso]
ff8ef000-ff910000 rw-p 00000000 00:00 0 [stack]
Re: Безопасность?
Я взял 2 рандомных сервера. От root толькоalenka писал(а): ↑Чт апр 30, 2026 10:54 amПокажите логи, крон задания.apzero писал(а): ↑Чт апр 30, 2026 8:14 amЯ один из SysOp команды крупного европейского хостера и подтверждаю проблему. Вчера с 19:20 до 20:20 было 2 волны исходящих атак с VPS на которых установлена BrainyCP. Сегодня аналогичный паттерн трафика был около 10 утра по Киеву и все с тех же серверов по brainyCP. Все они действительно идут по UDP на удаленный порт 65535. География (т.е где размещен сервер) не играет роли.
Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Код: Выделить всё
[root@228609 cron]# cat root
*/1 * * * * /usr/local/brainycp//src/compiled/php5/bin/php -q /usr/local/brainycp//scripts/cron_exec.php >/dev/null 2>/dev/null
@reboot /etc/watchdog
[root@228609 cron]#Код: Выделить всё
[root@228609 cron]# stat root |grep Modi
Modify: 2026-04-29 19:12:06.044553407 +0300
[root@228609 cron]#
Авторизаций по SSH не было или они "потерты" выборочно. Есть только клиентские по ключам и с его IP.
По поводу /etc/watchdog то да, и у нас есть и время сходится с модификацией cron файла root
Код: Выделить всё
[root@228609 brainy]# stat /etc/watchdog
File: ‘/etc/watchdog’
Size: 294856 Blocks: 576 IO Block: 4096 regular file
Device: fd01h/64769d Inode: 157240 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-04-30 14:54:18.106746237 +0300
Modify: 2026-04-29 19:12:06.042553396 +0300
Change: 2026-04-29 19:12:06.042553396 +0300
Birth: -
[root@228609 brainy]# md5sum /etc/watchdog
caa3171d1d173ed29685e68703901c01 /etc/watchdog
[root@228609 brainy]#