Возможная уязвимость в Vesta 0.9.8.19
Re: Возможная уязвимость в Vesta 0.9.8.19
Итого, что нашел после просмотра своих логов и заббикса
Code: Select all
for i in `find /var/log/nginx/ -type f -name *.gz`; do zcat $i | grep webmail; done
2018/04/04 13:24:07 [error] 6605#6605: *98410 FastCGI sent in stderr: "PHP message: PHP Warning: Declaration of rcmail::get_instance($env = '') should be compatible with rcube::get_instance($mode = 0, $env = '') in /usr/share/roundcubemail/program/include/rcmail.php on line 30" while reading response header from upstream, client: 119.82.29.17, server: zzzzz.com, request: "HEAD /webmail/ HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "zzzz.com", referrer: "http://zzzz.com/webmail/"
119.82.29.17 - - [04/Apr/2018:13:24:07 +0300] "HEAD /webmail/ HTTP/1.1" 200 0 "http://zzzz.com/webmail/" "Googlebot/2.1 (+http://www.google.com/bot.html)"
Re: Возможная уязвимость в Vesta 0.9.8.19
Code: Select all
HEAD /webmail/
UPD: всё верно, это strict-ошибка из-за неправильного экстенда класса, к нам не относится
-
- Posts: 172
- Joined: Tue Jan 28, 2014 10:11 am
Re: Возможная уязвимость в Vesta 0.9.8.19
Могу предоставить вам полный доступ к серверу зараженному, навсякий случай сделал бекап для развертывания и последующего разбтирательства.
Если нужен, черкните в ЛС, я предоставлю все доступы.
Re: Возможная уязвимость в Vesta 0.9.8.19
ОК,вроде как выяснили что проблема в круглокубе.Как его теперь правильно обновить?Как я понимаю это нужно обязательно сделать?
Re: Возможная уязвимость в Vesta 0.9.8.19
Че-то я файлов не нашел, но после 10 числа сервер ведет себя странно... Вообщем как все было:
1. Сервер потух, панель работала, но апач благополучно лежал. При этом причиной кажется был exim, потому что в панели на графике скачки активности, причем начались они с начала-серидины марта, что видно на графиках: https://pastenow.ru/4476efffedfba3b2d96dcaef471ab640 https://pastenow.ru/eddab4f8d8f43487065aa5cf3fa7d9d6. Я благополучно включил сервер, порылся в гугле (в логах exim было куча frozen), нашел инструкцию как исправить и благополучно забыл.
2. После того как хостер прислал уведомление о уязвимости - полез в панель посмотреть, что там происходит, и вижу, что аккурат с того дня, как лег сервер у меня выросло количество запущенных процессов почти вдвое: https://pastenow.ru/20ae85e3a75dbcd827f36d0056e719fd. При этом эта прибавка в основном из-за процессов mysql - их стало нереально много... Они висят, память не жрут, цп тоже вроде не грузят, но откуда их столько появилось - загадка. Перезапуск mysql не помог...
В общем, если подскажете в какую сторону копнуть - буду весьма признателен.
1. Сервер потух, панель работала, но апач благополучно лежал. При этом причиной кажется был exim, потому что в панели на графике скачки активности, причем начались они с начала-серидины марта, что видно на графиках: https://pastenow.ru/4476efffedfba3b2d96dcaef471ab640 https://pastenow.ru/eddab4f8d8f43487065aa5cf3fa7d9d6. Я благополучно включил сервер, порылся в гугле (в логах exim было куча frozen), нашел инструкцию как исправить и благополучно забыл.
2. После того как хостер прислал уведомление о уязвимости - полез в панель посмотреть, что там происходит, и вижу, что аккурат с того дня, как лег сервер у меня выросло количество запущенных процессов почти вдвое: https://pastenow.ru/20ae85e3a75dbcd827f36d0056e719fd. При этом эта прибавка в основном из-за процессов mysql - их стало нереально много... Они висят, память не жрут, цп тоже вроде не грузят, но откуда их столько появилось - загадка. Перезапуск mysql не помог...
В общем, если подскажете в какую сторону копнуть - буду весьма признателен.
Re: Возможная уязвимость в Vesta 0.9.8.19
Здравствуйте. Ваше сообщение не имеет отношения к данной теме. У вируса, который тут обсуждается есть вполне определенные признаки.
Re: Возможная уязвимость в Vesta 0.9.8.19
Я, если честно, вообще ни одного признака в этой теме не нашел, кроме файлов gcc и libudev... А это такие признаки, которые и все время существования сервера можно не заметить, не каждый же день проверяешь крон и папку usr/lib... может конечно невнимательно читал, но завтра прочитаю полностью...
Re: Возможная уязвимость в Vesta 0.9.8.19
Debian 9. Сервер полностью переустанавливался с нуля 5 апреля и тогда же перешёл на Весту с ISPManager.imperio wrote: ↑Fri Apr 13, 2018 4:52 pmhttps://github.com/roundcube/roundcubem ... /tag/1.3.6
Используйте инструкцию
https://github.com/roundcube/roundcubemail/wiki/Upgrade
Троян обнаружился 9 апреля после письма от хостера с предупреждением о возможном заражении. Почистил всё.
Вчера обновил Roundcube по вышеуказанной инструкции с Гитхаба. На настойчивые напоминания про бэкап забил, так как всё равно "кубиком" не пользуюсь. В итоге скрипт обновлений отработал без ошибок, но Roundcube после этого помер, выдавая ошибку "невозможно соединиться с базой данных". База на месте, видимо конфиги переписались или ещё что.
В общем, кто им пользуется - делайте бэкап перед обновлением! :)
А у меня такой вопрос теперь - можно ли вообще выпилить Roundcube, не повлияет ли это на работу панели? И если можно - то как лучше?
Вот по этой инструкции - viewtopic.php?f=12&t=13344&p=54106#p54106 - удалил веб-интерфейс. Но думаю, что лучше его вообще снести, если он не используется.