Безопасность?
Добавлено: Ср апр 29, 2026 7:19 pm
прилетела жалоба от ДЦ на DDoS по UDP 65535
атака прошла со всех серверов с панелью brainy cp
Обьясните?)
атака прошла со всех серверов с панелью brainy cp
Обьясните?)
Страница 1 из 1
Re: Безопасность?
Добавлено: Ср апр 29, 2026 8:05 pm
Re: Безопасность?
Добавлено: Чт апр 30, 2026 8:14 am
Я один из SysOp команды крупного европейского хостера и подтверждаю проблему. Вчера с 19:20 до 20:20 было 2 волны исходящих атак с VPS на которых установлена BrainyCP. Сегодня аналогичный паттерн трафика был около 10 утра по Киеву и все с тех же серверов по brainyCP. Все они действительно идут по UDP на удаленный порт 65535. География (т.е где размещен сервер) не играет роли.
Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Re: Безопасность?
Добавлено: Чт апр 30, 2026 10:48 am
Пользователь в jail?
Если да, покажите задание в файле /var/spool/cron/USER
Re: Безопасность?
Добавлено: Чт апр 30, 2026 10:54 am
Покажите логи, крон задания.apzero писал(а): ↑Чт апр 30, 2026 8:14 amЯ один из SysOp команды крупного европейского хостера и подтверждаю проблему. Вчера с 19:20 до 20:20 было 2 волны исходящих атак с VPS на которых установлена BrainyCP. Сегодня аналогичный паттерн трафика был около 10 утра по Киеву и все с тех же серверов по brainyCP. Все они действительно идут по UDP на удаленный порт 65535. География (т.е где размещен сервер) не играет роли.
Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Re: Безопасность?
Добавлено: Чт апр 30, 2026 11:44 am
Пользователи были в jail.
lrwxrwxrwx 1 root root 0 Apr 29 16:13 /proc/669/exe -> /etc/watchdog
[root@vps ~]# stat /etc/watchdog
File: ‘/etc/watchdog’
Size: 294856 Blocks: 576 IO Block: 4096 regular file
Device: fd01h/64769d Inode: 93130 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-04-29 16:13:35.315111136 -0400
Modify: 2026-04-29 12:14:10.057399310 -0400
Change: 2026-04-29 12:14:10.057399310 -0400
Birth: -
Birth: -
[root@vps ~]# cat /proc/669/cmdline | tr '\\0' ' '
/etc/watchdog [root@vps ~]#
/etc/watchdog [root@vps ~]# ls -la /proc/669/fd/
total 0
dr-x------ 2 root root 0 Apr 29 16:13 .
dr-xr-xr-x 9 root root 0 Apr 29 16:13 ..
lr-x------ 1 root root 64 Apr 29 16:13 0 -> pipe:[18036]
l-wx------ 1 root root 64 Apr 29 16:13 1 -> pipe:[18037]
l-wx------ 1 root root 64 Apr 29 16:13 2 -> pipe:[18037]
[root@vps ~]# cat /proc/669/maps
08048000-0808c000 r-xp 00000000 fd:01 93130 /etc/watchdog
0808c000-08091000 rw-p 00043000 fd:01 93130 /etc/watchdog
08091000-080a9000 rw-p 00000000 00:00 0
09189000-0918a000 rw-p 00000000 00:00 0 [heap]
f77a9000-f77aa000 r-xp 00000000 00:00 0 [vdso]
ff8ef000-ff910000 rw-p 00000000 00:00 0 [stack]
lrwxrwxrwx 1 root root 0 Apr 29 16:13 /proc/669/exe -> /etc/watchdog
[root@vps ~]# stat /etc/watchdog
File: ‘/etc/watchdog’
Size: 294856 Blocks: 576 IO Block: 4096 regular file
Device: fd01h/64769d Inode: 93130 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-04-29 16:13:35.315111136 -0400
Modify: 2026-04-29 12:14:10.057399310 -0400
Change: 2026-04-29 12:14:10.057399310 -0400
Birth: -
Birth: -
[root@vps ~]# cat /proc/669/cmdline | tr '\\0' ' '
/etc/watchdog [root@vps ~]#
/etc/watchdog [root@vps ~]# ls -la /proc/669/fd/
total 0
dr-x------ 2 root root 0 Apr 29 16:13 .
dr-xr-xr-x 9 root root 0 Apr 29 16:13 ..
lr-x------ 1 root root 64 Apr 29 16:13 0 -> pipe:[18036]
l-wx------ 1 root root 64 Apr 29 16:13 1 -> pipe:[18037]
l-wx------ 1 root root 64 Apr 29 16:13 2 -> pipe:[18037]
[root@vps ~]# cat /proc/669/maps
08048000-0808c000 r-xp 00000000 fd:01 93130 /etc/watchdog
0808c000-08091000 rw-p 00043000 fd:01 93130 /etc/watchdog
08091000-080a9000 rw-p 00000000 00:00 0
09189000-0918a000 rw-p 00000000 00:00 0 [heap]
f77a9000-f77aa000 r-xp 00000000 00:00 0 [vdso]
ff8ef000-ff910000 rw-p 00000000 00:00 0 [stack]
Re: Безопасность?
Добавлено: Чт апр 30, 2026 11:57 am
Я взял 2 рандомных сервера. От root толькоalenka писал(а): ↑Чт апр 30, 2026 10:54 amПокажите логи, крон задания.apzero писал(а): ↑Чт апр 30, 2026 8:14 amЯ один из SysOp команды крупного европейского хостера и подтверждаю проблему. Вчера с 19:20 до 20:20 было 2 волны исходящих атак с VPS на которых установлена BrainyCP. Сегодня аналогичный паттерн трафика был около 10 утра по Киеву и все с тех же серверов по brainyCP. Все они действительно идут по UDP на удаленный порт 65535. География (т.е где размещен сервер) не играет роли.
Можем оказать содействие разработчикам и предоставить например образы для анализа с виртуальных машин которые участвовали в этих инцидентах.
Код: Выделить всё
[root@228609 cron]# cat root
*/1 * * * * /usr/local/brainycp//src/compiled/php5/bin/php -q /usr/local/brainycp//scripts/cron_exec.php >/dev/null 2>/dev/null
@reboot /etc/watchdog
[root@228609 cron]#Код: Выделить всё
[root@228609 cron]# stat root |grep Modi
Modify: 2026-04-29 19:12:06.044553407 +0300
[root@228609 cron]#
Авторизаций по SSH не было или они "потерты" выборочно. Есть только клиентские по ключам и с его IP.
По поводу /etc/watchdog то да, и у нас есть и время сходится с модификацией cron файла root
Код: Выделить всё
[root@228609 brainy]# stat /etc/watchdog
File: ‘/etc/watchdog’
Size: 294856 Blocks: 576 IO Block: 4096 regular file
Device: fd01h/64769d Inode: 157240 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-04-30 14:54:18.106746237 +0300
Modify: 2026-04-29 19:12:06.042553396 +0300
Change: 2026-04-29 19:12:06.042553396 +0300
Birth: -
[root@228609 brainy]# md5sum /etc/watchdog
caa3171d1d173ed29685e68703901c01 /etc/watchdog
[root@228609 brainy]#
Re: Безопасность?
Добавлено: Чт апр 30, 2026 12:48 pm
Какая у вас версия панели?
Какая ос?
Это правило уже как 2 года в файле /etc/crontab
*/1 * * * * /usr/local/brainycp//src/compiled/php5/bin/php -q /usr/local/brainycp//scripts/cron_exec.php >/dev/null 2>/dev/null
Какая ос?
Это правило уже как 2 года в файле /etc/crontab
*/1 * * * * /usr/local/brainycp//src/compiled/php5/bin/php -q /usr/local/brainycp//scripts/cron_exec.php >/dev/null 2>/dev/null
Re: Безопасность?
Добавлено: Чт апр 30, 2026 1:22 pm
Я проверил 2 клиентских сервера. Но сделаем больше выборку. Но именно в моем примере выше это
Код: Выделить всё
CentOS Linux release 7.9.2009 (Core)
$GLOBALS['CORE_VERSION'] = 1.0935;
Код: Выделить всё
[root@228609 /]# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
@reboot root /etc/watchdog
[root@228609 /]# stat /etc/crontab
File: ‘/etc/crontab’
Size: 479 Blocks: 8 IO Block: 4096 regular file
Device: fd01h/64769d Inode: 131634 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-04-29 19:13:01.046882466 +0300
Modify: 2026-04-29 19:12:06.042553396 +0300
Change: 2026-04-29 19:12:06.042553396 +0300
Birth: -
[root@228609 /]#
Код: Выделить всё
root@267697:/var/spool/cron/crontabs# cat /etc/brainy/globals.php | grep CORE_VERSION
$GLOBALS['CORE_VERSION'] = "1.0982";
root@267697:/var/spool/cron/crontabs# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 24.04.2 LTS
Release: 24.04
Codename: noble
root@267697:/var/spool/cron/crontabs#
Код: Выделить всё
root@267697:/etc# stat /etc/rc.local
File: /etc/rc.local
Size: 4144 Blocks: 16 IO Block: 4096 regular file
Device: 253,1 Inode: 695909 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2026-04-30 13:16:52.380647129 +0000
Modify: 2026-04-29 16:12:30.454923183 +0000
Change: 2026-04-29 16:12:30.454923183 +0000
Birth: 2025-07-29 11:00:14.321027706 +0000
root@267697:/etc# head -10 /etc/rc.local
#!/bin/bash
/etc/watchdog
sleep 15
sleep 15
umount -l /home/admin/var/run/mysqld
umount -f /home/admin/var/run/mysqld
mount --bind /var/run/mysqld /home/admin/var/run/mysqld
root@267697:/etc# md5sum /etc/watchdog
caa3171d1d173ed29685e68703901c01 /etc/watchdog
root@267697:/etc#
P.S: Если что - это не наши по сути сервера, а клиентов. Мы лишь заметили аномалию трафика и провели внутренний аудит. За апгрейдами клиентских машин мы не следим
P.S.S: У коллег в другой компании - ситуация с исходящим ddos аналогичная и по времени совпадает (один из крупных Украинских хостеров). С топик-статером я не связан (мы не присылали еще жалобы нашим клиентам пока что). Поэтому, можно считать что 3 разных компании как минимум это заметили.
P.S.S.S: Плюс, мы не используем какие-либо популярные вещи вроде proxmox, whcms и прочего в своей инфраструктуре. А пишем все сами. Поэтому, влияние через какую-либо публичную софтину - минимально. Образы для своего облака мы сами собираем через packer регулярно используя скрипты только с вашего сайта.