Интересно ломать чужое. Досадно, когда ломают твоё.
На днях с удивлением обнаружил, что сайты, расположенные на сервере, постоянно что-то загружают и ходят куда-то, куда явно не надо. Стал смотреть и обнаружил, что уже какой месяц назад хостинг взломали, залили шел и делают что хотят. Что получается, точнее.
Небольшое расследование показало: нашли инсталляцию opencart с паролем по умолчанию (тут я плакал и зарекался), зашли в админку, поменяли “Error Log Filename” на имя с расширением .php и через вызов ошибки залили туда php код. Ну и далее php шел со всеми вытекающими – заменой всех jquery файлов на модифицированные.
Благодаря php-fpm от пользователя, пострадали только некоторые сайты, запущенные от данной учётки. Неработающий mail() не дал рассылать спам, а закрытый исходящий трафик исключил проксирование.
Благодаря логам удалось найти все (надеюсь!) залитые файлы.
Мораль: пароли по умолчанию великое зло !