В установочный скрипт был внедрен похищающий пароли вредонос.
Неизвестные злоумышленники внедрили в установочный скрипт панели управления хостингом Vesta Control Panel (VestaCP) вредоносное ПО, способное красть пароли для учетной записи администратора, открывать оболочки и осуществлять DDoS-атаки. Согласно сообщению представителя команды VestaCP, киберпреступникам удалось взломать сервер инфраструктуры и внести изменения в установочные скрипты.
По имеющимся данным, вредоносный код был внедрен 31 мая нынешнего года и удален спустя две недели – 13 июня. С помощью кода злоумышленники могли собирать пароли администратора и IP-адреса серверов с установленной панелью VestaCP. Для сокрытия деятельности собранные данные отправлялись обратно на сервер VestaCP, предположительно находящимся под контролем злоумышленников. Украденные пароли затем использовались для заражения серверов вредоносной программой Linux/ChachaDDoS, сочетающей в себе фрагменты кодов различных вредоносов, в основном XOR.
Linux/ChachaDDoS включает несколько функций, в том числе возможность проведения DDoS-атак. Согласно данным специалистов ESET, некоторые скомпрометированные серверы использовались в DDoS-атаках на двух китайских интернет-провайдеров.
Команда VestaCP уже выпустила обновление VestaCP 0.9.8-23, а также запустила сайт , позволяющий владельцам серверов провести проверку на предмет наличия скомпрометированной версии хостинг-панели.
Спойлер: мы раскрываем их любимые трюки