Обнаружено несколько уязвимостей в ядре Linux.

CVE ID : CVE-2015-8956 CVE-2016-5195 CVE-2016-7042 CVE-2016-7425 
Debian Bug : 831014 

Several vulnerabilities have been discovered in the Linux kernel that 
may lead to a privilege escalation, denial of service or information 
leaks. 

CVE-2015-8956 

It was discovered that missing input sanitising in RFCOMM Bluetooth 
socket handling may result in denial of service or information leak. 

CVE-2016-5195 

It was discovered that a race condition in the memory management 
code can be used for local privilege escalation. 

CVE-2016-7042 

Ondrej Kozina discovered that incorrect buffer allocation in the 
proc_keys_show() function may result in local denial of service. 

CVE-2016-7425 

Marco Grassi discovered a buffer overflow in the arcmsr SCSI driver 
which may result in local denial of service, or potentially, 
arbitrary code execution. 

Additionally this update fixes a regression introduced in DSA-3616-1 
causing iptables performance issues (cf. Debian Bug #831014). 

For the stable distribution (jessie), these problems have been fixed in 
version 3.16.36-1+deb8u2.

На мой взгляд самая адекватная утилита на сегодня для сканирования узявимостей сервера это Clam AntiVirus. Возможно многие не согласятся, так как утилит есть много разных. В чем преимущество Clam AntiVirus перед другими?

• постоянно обновляемая база;
• автоматически обновления;
• высокая популярность ПО и благодаря этого актуальная база;
• низкий процент фиктивных срабатываний;
• работает не только с PHP файлами.

AXFR — раскрытие информации о трансфере зоны.

Domain Name System описанный в RFC 1034/1035 включает спецификацию full zone transfer (AXFR). Обычно этот механизм используется для репликации информации зоны между серверами, но он также может использоваться для получения различной информации для массовых почтовых рассылок, распределенных DoS атак и других злонамеренных целей. Уязвимость связана с тем, что многие DNS сервера не выполняют ограничения на AXFR запросах.

XFR данные могут использоваться, чтобы найти почтовые ретрансляторы, прокси серверы, хосты с определенными OS или установленными приложениями.

Когда DNS-сервер получает AXFR-запрос он отдает все данные, которые ему известны для запрошенного домена. Подразумевается, что такой запрос придет от DNS-сервера, который пытается выполнить трансфер зоны (перенести домен к себе, реплицировать). Но если DNS-сервер сконфигурирован неверно, любой юзер может получить доступ к этим данным.

Очень часто сайты имеют «секретные» поддомены (dev.*, test.* и подобные) для внутреннего использования. Обычно, эти домены имеют небезопасную конфигурацию (включенный stacktrace для dev доменов как пример) или разрабатываемые фичи.

Узнать, выдает ли Ваш DNS подробные данные о содержимом зоны (AXFR)  можно так: dig AXFR domain.ru @ns.domain.ru

Появилась новая уязвимость, вы обновились, но не знаете закрыта ли она в текущей версии. Как быть? На самом деле проверить это не сложно.

Verify Vulnerability

К примеру, имеем уязвимость CVE-2015-5477 в bind на операционной системе CentOS. Проверяем:

rpm -q --changelog bind | grep CVE-2015-5477

Пароли к вашим аккаунтам, будь то выделенный сервер, вдс или хостинг-аккаунт, это первое что защищает вас от взлома! Помните это и выполняйте следующие правила:

• меняйте пароли не реже раза в месяц;

• не используйте слишком простые пароли (одни цифры либо последовательность клавиш на клавиатуре);

• по возможности используйте спецсимволы в паролях;

• не используйте короткие пароли, даже если вы считаете их сложными;

• советую использовать наш генератор паролей со спецсимволами и без спецсимволов,
  где цифра это количество символов.

• никогда не передавайте пароли третьим лицам без большой на то надобности;

• если предоставили пароль третьему лицу, после окончания работ смените его;

• меняйте порты ssh. Это отсечет основной потом брут-форса; *

• если у вас статический IP-адрес, ограничьте доступ к ssh и панелям управления по IP; *

• ограничьте количество соединений по ssh с помощью правил iptables и/или fail2ban (или аналогов); *

• да и просто будьте бдительны.

* - для VDS и Dedicated.

Верные права на php-файлы 600, на остальные файлы 644, на папки 755.
Права 666 и 777 не рекомендуем ставить, запись возможно и при 644/755.

Unspecified vulnerability in the _php_stream_scandir function in the stream implementation in PHP before 5.3.15 and 5.4.x before 5.4.5 has unknown impact and remote attack vectors, related to an "overflow."

The SQLite functionality in PHP before 5.3.15 allows remote attackers to bypass the open_basedir protection mechanism via unspecified vectors.

pdo_sql_parser.re in the PDO extension in PHP before 5.3.14 and 5.4.x before 5.4.4 does not properly determine the end of the query string during parsing of prepared statements, which allows remote attackers to cause a denial of service (out-of-bounds read and application crash) via a crafted parameter value.

И мой короткий ломаный перевод:
pdo_sql_parser.re в расширении PDO в PHP до версии 5.3.14 и в 5.4.x до версии 5.4.4 не правильно определить конец строки запроса, что позволяет удаленному злоумышленнику вызвать отказ в обслуживании (выходить за пределы поля чтения и падение программы).