Возможная уязвимость в Vesta 0.9.8.19

omega80 · Post by **omega80** » Mon Apr 09, 2018 2:48 pm

mr.flash wrote: ↑
Mon Apr 09, 2018 2:44 pm

omega80 wrote: ↑
Mon Apr 09, 2018 2:31 pm
If that is true, the only way iam seeing it, is that Vesta repositories were hacked and people installed an exploited version of Vesta.

Наверное нет. Если бы это было так, зачем тогда делать авторизацию и шаманить руками?

The most common way is to ping port 8083. I don't know any other software that uses that port by default.

If they are exploiting servers even with that port blocked, the only way iam currently imagining, is for the Vesta Repo to have been also compromised.
Their repo is also using VestaCP.

---
на репе тоже веста была, как предположение ее могли скомпроментировать

Messiah · Post by **Messiah** » Mon Apr 09, 2018 2:52 pm

Теперь верю. Я вчера в панике фиксил десяток машин, хотя заражена была только та которая устанавливалась / настраивалась неделю назад, т.е. наиболее свежая версия. На некоторых серверах панель не обновлялась годами. Где-то вообще обновляться опасно, упадет phpmyadmin, расположенный по нестандартному адресу, или open_basedir настройка из за правок чего-то где-то, к сожалению много файлов перезаписываются без спроса.

Возможно что репозитории, но до того паника подымалась на счет API и я даже в это поверил судя по правкам, внесенным вчера на гит

Djalin · Post by **Djalin** » Mon Apr 09, 2018 2:53 pm

Емн то есть сейчас установить весту нельзя - весело.

omega80 · Post by **omega80** » Mon Apr 09, 2018 3:00 pm

mr.flash wrote: ↑
Mon Apr 09, 2018 2:42 pm
Первую активизацию я заметил еще 4 апреля. На одном из клиентских серверов. Когда был взломан сам сервер сложно сказать.

у меня странный всплеск был в конце марта, числа 26, на тестовом серваке, но там было несколько нулленых модулей для CMS, грешил на них, но как оказывается это был наш ддос скрипт.

yariksat · Post by **yariksat** » Mon Apr 09, 2018 3:06 pm

omega80 wrote: ↑
Mon Apr 09, 2018 3:00 pm
у меня странный всплеск был в конце марта, числа 26, на тестовом серваке, но там было несколько нулленых модулей для CMS, грешил на них, но как оказывается это был наш ддос скрипт.

Опа...А у меня вот такое было

От: Андрей - 2018-03-26 06:34:28
Здравствуйте!

Система мониторинга фиксирует чрезмерную нагрузку на центральный процессор (CPU) со стороны Вашего виртуального сервера. Как правило это является признаком неправильной или аномальной работы программного обеспечения, либо признаком взлома и неправмомерного использования Вашего сервера.

Просим провести проверку и по возможности принять меры. Графики нагрузки на ресурсы сервера Вы можете всегда посмотреть в панели управления сервером. Напоминаем, что в случае если аномальная работа виртуального сервера будет мешать работе других клиентов предоставление ресурсов CPU может быть временно ограничено (в соответствии с правилами предоставления услуг) по количеству ядер до устранения нарушений.

Было разово и больше не повторилось.Выходит всё пытались поломать?

abst · Post by **abst** » Mon Apr 09, 2018 4:46 pm

yariksat wrote: ↑
Mon Apr 09, 2018 3:06 pm

omega80 wrote: ↑
Mon Apr 09, 2018 3:00 pm
у меня странный всплеск был в конце марта, числа 26, на тестовом серваке, но там было несколько нулленых модулей для CMS, грешил на них, но как оказывается это был наш ддос скрипт.
Опа...А у меня вот такое было
От: Андрей - 2018-03-26 06:34:28
Здравствуйте!

Система мониторинга фиксирует чрезмерную нагрузку на центральный процессор (CPU) со стороны Вашего виртуального сервера. Как правило это является признаком неправильной или аномальной работы программного обеспечения, либо признаком взлома и неправмомерного использования Вашего сервера.

Просим провести проверку и по возможности принять меры. Графики нагрузки на ресурсы сервера Вы можете всегда посмотреть в панели управления сервером. Напоминаем, что в случае если аномальная работа виртуального сервера будет мешать работе других клиентов предоставление ресурсов CPU может быть временно ограничено (в соответствии с правилами предоставления услуг) по количеству ядер до устранения нарушений.
Было разово и больше не повторилось.Выходит всё пытались поломать?

У меня 21 марта один из серверов жестко брутили с китайских IP, в основном SSH и сайты на сервере (WP). Но на нем следов взлома нет, вредоносных файлов тоже. Порт SSH кастомный.

Messiah · Post by **Messiah** » Mon Apr 09, 2018 4:58 pm

Брутили это дело такое, у меня если phpmyadmin или порт 3306 не закрыть базы данных брутят каждую неделю, про бруты ssh на стандартном и изредка нестандартном порту я даже писать не буду. Все же интересно откуда растут ноги

vitaly.m · Post by **vitaly.m** » Mon Apr 09, 2018 5:04 pm

Учитывая что в github днём была версия 18 а не 19 и даже не 20 (я выше написал), и то что vesta перестала ставиться на некоторые конфиги, не факт что дело в паролях. Возможно уязвимость приплыла со сторонним софтом, дабавленным по дефолту в 19 версии.
Подождём ответа разработчика.

Djalin · Post by **Djalin** » Mon Apr 09, 2018 5:20 pm

вообщем советы вредные - переинсталировать невозможно

vesta-php
vesta-ioncube

невозможно говорит найти

Мигрировать особо некуда

yariksat · Post by **yariksat** » Mon Apr 09, 2018 5:41 pm

Messiah wrote: ↑
Mon Apr 09, 2018 4:58 pm
Все же интересно откуда растут ноги

В английской ветке форума все так же гадают.Сомневаюсь что нам что либо сообщат.

Vesta Control Panel - Forum

Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Login • Register