Возможная уязвимость в Vesta 0.9.8.19

yariksat · Post by **yariksat** » Mon Apr 09, 2018 2:11 pm

yariksat wrote: ↑
Mon Apr 09, 2018 1:48 pm

C00ller wrote: ↑
Mon Apr 09, 2018 1:32 pm
после обновления: vesta core r20, vesta-nginx r19, так и должно быть?
Да.

А не...Извиняюсь.РНР интерпретатор должен быть 19 релиза...Это у меня так же 20 релиза.

omega80 · Post by **omega80** » Mon Apr 09, 2018 2:16 pm

Messiah wrote: ↑
Mon Apr 09, 2018 1:55 pm

===============
Товарищи, у кого-то сегодня сервера ломали или вчерашняя волна была единственной? Случаи повторного взлома после чистки сервера были? То что нестандартный порт это только временное решение - понятно, я просто жестко ограничил доступ по IP

в английской ветке утверждают, что ломали даже тех, у кого жестко прописан только свой белый ip

Messiah · Post by **Messiah** » Mon Apr 09, 2018 2:22 pm

Как говорил Станиславский, не верю. Может прописали, но не перезапустили сервис? Уязвимость, скорее всего, в файлах самой панели. Инфа от одного из хостеров который всем своим клиентам обрезал доступ к 8083 порту - взломов больше не было. Тут писали что отключение vesta (nginx) решает проблему, значит оно таки в скриптах доступных на порту 8083. Еще не понимаю, по какому принципу прошлись эксплоитом. У меня ломанули новый сервер, который только на днях был настроен и IP еще толком нигде не засвечен, а адреса которые уже даже в индексе ПС могли попасть не тронуты.

omega80 · Post by **omega80** » Mon Apr 09, 2018 2:31 pm

Messiah wrote: ↑
Mon Apr 09, 2018 2:22 pm
Как говорил Станиславский, не верю. Может прописали, но не перезапустили сервис? Уязвимость, скорее всего, в файлах самой панели. Инфа от одного из хостеров который всем своим клиентам обрезал доступ к 8083 порту - взломов больше не было. Тут писали что отключение vesta (nginx) решает проблему, значит оно таки в скриптах доступных на порту 8083. Еще не понимаю, по какому принципу прошлись эксплоитом. У меня ломанули новый сервер, который только на днях был настроен и IP еще толком нигде не засвечен, а адреса которые уже даже в индексе ПС могли попасть не тронуты.

у меня 10 разных машин, и на всех стоит веста, на одной из вест я поменял порт на 24к, и вот именно эту машину заразили. Файервол не индивидуалил. Так что это не от порта. На английской ветке зреет мнение что дело в репах.
И не забывайте, что зараза была занесена не в пик заражения, а, судя по многочисленным сообщениям, немного заранее. Видимо кого смогли, того инфицировали, а потом подали команду на активизацию

pipoy wrote: ↑Mon Apr 09, 2018 5:27 pm
My vestas are 3 months old
That is very strange. How the hell they exploited your server?

In my case, i have three servers with Vesta, none of them was exploited. In the most important one, i did have port 8083 blocked with iptables
Then i have one test server where i installed Vesta last week, and that one was indeed exploited.

Djalin · Post by **Djalin** » Mon Apr 09, 2018 2:33 pm

Messiah wrote: ↑
Mon Apr 09, 2018 2:22 pm
У меня ломанули новый сервер, который только на днях был настроен и IP еще толком нигде не засвечен, а адреса которые уже даже в индексе ПС могли попасть не тронуты.

Тоже с 4-х серверов пока замечен только один. Настройки почти одинаковы на двух серверах

Один дебиан 8 - чист, дебиан 9 взломали

Djalin · Post by **Djalin** » Mon Apr 09, 2018 2:34 pm

omega80 wrote: ↑
Mon Apr 09, 2018 2:31 pm
На английской ветке зреет мнение что дело в репах.

чьих?

yariksat · Post by **yariksat** » Mon Apr 09, 2018 2:37 pm

Messiah wrote: ↑
Mon Apr 09, 2018 2:22 pm
Еще не понимаю, по какому принципу прошлись эксплоитом. У меня ломанули новый сервер, который только на днях был настроен и IP еще толком нигде не засвечен, а адреса которые уже даже в индексе ПС могли попасть не тронуты.

Вот и у меня аналогично.
И что прикольно один хостер практически моментально начал бить тревогу,принуждать к обновлению и заблокировал порт 8083.Взломов у него было много(с их слов).Другой же не ухом не рылом о таком,узнал от меня и даже ничего не пытался предпринять.И не пытается.То есть у них выходит что все гладко.

omega80 · Post by **omega80** » Mon Apr 09, 2018 2:40 pm

Djalin wrote: ↑
Mon Apr 09, 2018 2:34 pm

omega80 wrote: ↑
Mon Apr 09, 2018 2:31 pm
На английской ветке зреет мнение что дело в репах.
чьих?

viewtopic.php?f=10&t=16556&start=320

How did you got hacked if the port was closed? With the port closed, there is not access to the Web UI.

If that is true, the only way iam seeing it, is that Vesta repositories were hacked and people installed an exploited version of Vesta.

When did you installed your VestaCP?

mr.flash · Post by **mr.flash** » Mon Apr 09, 2018 2:42 pm

Первую активизацию я заметил еще 4 апреля. На одном из клиентских серверов. Когда был взломан сам сервер сложно сказать.

mr.flash · Post by **mr.flash** » Mon Apr 09, 2018 2:44 pm

omega80 wrote: ↑
Mon Apr 09, 2018 2:31 pm
If that is true, the only way iam seeing it, is that Vesta repositories were hacked and people installed an exploited version of Vesta.

Наверное нет. Если бы это было так, зачем тогда делать авторизацию и шаманить руками?

Vesta Control Panel - Forum

Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Login • Register