Пользователи панели управления хостингом Parallels Plesk [3] отмечают [4] факты появления на серверах вредоносного ПО, проникающего через уязвимость в web-интерфейсе файлового менеджера, поставляемого в составе панели. После эксплуатации уязвимости в директории /var/www/vhosts/DOMAINNAME/cgi-bin/ размещается скрипт на языке Perl (имя выбирается случайно), который прописывается в cron. Проблема подвержены версии Plesk с 7.6.1 по 10.3.1. Исправление с устранением уязвимости пока не выпущено. Для устранения проблемы рекомендуется временно ограничить доступ к web-панели.
Код скрипта можно посмотреть на pastebin [5], судя по комментариям на русском языке он разработан нашими соотечественниками. Скрипт подключает сервер жертвы к ботнет сети, используемой для проведения DDoS-атак. Поддерживается работа в роли прокси и несколько режимов атак, команды по проведению которых принимаются с нескольких управляющих серверов. Проверить наличие вредоносного скрипта можно оценив наличие в директории /var/www/vhosts/[a-z]*/cgi-bin/ странных имен файлов с расширением ".pl" и недавней датой модификации.
Дополнение: Компания Parallels выпустила обновления [6] с исправлением уязвимости (Plesk 8.6 MU#2, 9.5 MU#11, 10.3 MU#5).
Ссылки:
[1] http://htfl.ru/cat-news-virusy
[2] http://htfl.ru/cat-news-novosti
[3] /out.php?link=http://ru.wikipedia.org/wiki/Parallels_Plesk_Panel
[4] /out.php?link=http://forum.parallels.com/showthread.php?t=257260
[5] /out.php?link=http://pastebin.com/gAs4EkyG
[6] /out.php?link=http://kb.parallels.com/en/113321