Vesta Control Panel - Forum

Всем привет, сегодня человек начал "сливать" инфу других пользователей и я хотел бы это прикрыть. Он получает информацию с баз данных других пользователей VESTA.

У меня стоят стандартные настройки VESTA и ничего больше я не трогал. Подскажите пожалуйста насчет безопасности, может нужно что-то в конфигах настроить. Доступы такие:

Шаблон Web:default
Шаблон DNS:default
Доступ по SSH:nologin

Варианты:
- у него есть доступ к sudo
- он взломал систему
- попросту подобрал пароль

Без логов сложно что-то сказать. На мой взгляд, детских проблем с безопасностью у весты нет.

gecube_ru wrote:Варианты:
- у него есть доступ к sudo
- он взломал систему
- попросту подобрал пароль

Без логов сложно что-то сказать. На мой взгляд, детских проблем с безопасностью у весты нет.

Спасибо за ответ. Подскажите пожалуйста где посмотреть эти логи? Я знаю точно какой пользователь это сделал. Логи я смотрел тут - /usr/local/vesta/log но ничего страшного не нашел

Системные логи хранятся в /var/log
например, особо интересует /var/log/secure

gecube_ru wrote:Системные логи хранятся в /var/log
например, особо интересует /var/log/secure

У меня такого нет /var/log/secure

Я знаю взломщика, и знаю, что он взломал через какой-то вредоносный код. Webshell или sql инъекция, так как он получил инфу только с некоторых таблиц баз данных и если бы у него был доступ к судо он бы мог все удалить на сколько я понимаю. А так он просто начал сливать инфу с таблиц пользователей

И самое главное, что взлом произошел только тогда, когда я ему дал доступ к аккаунту VESTA (выше я писал какие привилегии я ему выдавал)

diman55 wrote:Всем привет, сегодня человек начал "сливать" инфу других пользователей и я хотел бы это прикрыть. Он получает информацию с баз данных других пользователей VESTA.

Вариант 1 - вебшелл у пользователей через уйязвимости, здесь масса вариантов
Вариант 2 - не включенный/выключенный open_basedir

Подбор пароля кажется маловероятным, если конечно вручную его не задавали простой.

diman55 wrote:Шаблон Web:default
Шаблон DNS:default

Стоит начать с того, есть ли в пользовательских конфигурациях apache и темплейтах опция open_basedir
Она в шаблонах довольно давно, но если у вас и сервер давно, то возможно без этой опции.

skurudo wrote:

diman55 wrote:Всем привет, сегодня человек начал "сливать" инфу других пользователей и я хотел бы это прикрыть. Он получает информацию с баз данных других пользователей VESTA.

Вариант 1 - вебшелл у пользователей через уйязвимости, здесь масса вариантов
Вариант 2 - не включенный/выключенный open_basedir

Подбор пароля кажется маловероятным, если конечно вручную его не задавали простой.

diman55 wrote:Шаблон Web:default
Шаблон DNS:default

Стоит начать с того, есть ли в пользовательских конфигурациях apache и темплейтах опция open_basedir
Она в шаблонах довольно давно, но если у вас и сервер давно, то возможно без этой опции.

Я пробовал заливать вебшелл, выйти из корня пользователя не смог. Все остальное у меня по дефолту стоит. Вы говорите: "вебшелл у пользователей через уйязвимости, здесь масса вариантов" Мне это не очень понятно) Человек как только получил доступ смог узнать данные из таблиц баз данных всех пользователей веста.

diman55 wrote:Я пробовал заливать вебшелл, выйти из корня пользователя не смог. Все остальное у меня по дефолту стоит. Вы говорите: "вебшелл у пользователей через уйязвимости, здесь масса вариантов" Мне это не очень понятно) Человек как только получил доступ смог узнать данные из таблиц баз данных всех пользователей веста.

Ну как? К стандартным скриптам типа вордпресса и т.д. есть готовые уязвимости
Здесь велико поле для исследования.
То, что он это получил не через Vesta очевидно, мы не храним нигде пароли от mysql баз.

PS: Или же можно предположить, что ваш рут скомпрометирован или рут от mysql :)

skurudo wrote:

diman55 wrote:Я пробовал заливать вебшелл, выйти из корня пользователя не смог. Все остальное у меня по дефолту стоит. Вы говорите: "вебшелл у пользователей через уйязвимости, здесь масса вариантов" Мне это не очень понятно) Человек как только получил доступ смог узнать данные из таблиц баз данных всех пользователей веста.

Ну как? К стандартным скриптам типа вордпресса и т.д. есть готовые уязвимости
Здесь велико поле для исследования.
То, что он это получил не через Vesta очевидно, мы не храним нигде пароли от mysql баз.

PS: Или же можно предположить, что ваш рут скомпрометирован или рут от mysql :)

Я все понимаю, просто хотелось бы как-то обезопасится от всего этого. У меня "голый" сервер, установлена только панель VESTA. Вот я и хочу узнать на этом форуме как можно защитится от подобных взломов. Что нужно/можно поставить на сервер кроме VESTA CP

В 95% достаточно не ставить никаких сайтов под admin. Тогда в случае взлома каждый будет играться в своей песочнице и не сможет прочитать config.php другого сайта, узнать логин и пароль к mysql и залезть в чужую базу. Вот если взломают/зальют шелл под admin - пиши пропало, это доступ ко всему серверу.