Возможная уязвимость в Vesta 0.9.8.19
Re: Возможная уязвимость в Vesta 0.9.8.19
аналогично что делать незнаю. Даже бэкапы сделать не могу...
Re: Возможная уязвимость в Vesta 0.9.8.19
Аналогичная ситуация. Сервер фреш инсталл вчерашний, os debian 8, сегодня пошел ддос, беглый осмотр показал что стоит xor.ddos троян.
iptables на input было открыто 80,443,8083
т.к. сервер свежий - запариваться не стал, переустановил и закрыл порт 8083.
осмотрел остальные железки - на 4х других серверах проблемы нет
iptables на input было открыто 80,443,8083
т.к. сервер свежий - запариваться не стал, переустановил и закрыл порт 8083.
осмотрел остальные железки - на 4х других серверах проблемы нет
Re: Возможная уязвимость в Vesta 0.9.8.19
Попробуйте остановить веб-интерфейс панели, отключить root доступ
Мы разбираемся, но пока не можем понять как связаны взломы с панелью.
XOR-DDOS BOTNET по информации использует брутфорс паролей, не использует узязвимости ОС, на момент 2015 года.
Мы разбираемся, но пока не можем понять как связаны взломы с панелью.
XOR-DDOS BOTNET по информации использует брутфорс паролей, не использует узязвимости ОС, на момент 2015 года.
Re: Возможная уязвимость в Vesta 0.9.8.19
Есть ли какие-то особенности между серверами?Аналогичная ситуация. Сервер фреш инсталл вчерашний, os debian 8, сегодня пошел ддос, беглый осмотр показал что стоит xor.ddos троян.
осмотрел остальные железки - на 4х других серверах проблемы нет
Re: Возможная уязвимость в Vesta 0.9.8.19
я воще ничего не могу сделать, зависает из за вируса этого.
Re: Возможная уязвимость в Vesta 0.9.8.19
>> Мы разбираемся, но пока не можем понять как связаны взломы с панелью.
>> XOR-DDOS BOTNET по информации использует брутфорс паролей, не использует узязвимости ОС, на момент >>2015 года.
Это понятно, но пароль сбрутфорсить невозможно за 12 часов он же естесственно не простой. Так что смотрите. Пока у себя на всех серверах закрыл вообще доступ на 8083.
Повторюсь - конкретно у меня в мир смотрели только 80,443 и 8083 все остальное закрыто.Проблему с дыркой в сайте исключаем т.к. сервер пустой.
Я бы вам с удовольствием дал на растерзание сломаный сервер, но это вдс и хостер его постоянно блочит )
Вобщем будем смотреть, если с закрытой вестой взлом повторится - отпишусь.
>> XOR-DDOS BOTNET по информации использует брутфорс паролей, не использует узязвимости ОС, на момент >>2015 года.
Это понятно, но пароль сбрутфорсить невозможно за 12 часов он же естесственно не простой. Так что смотрите. Пока у себя на всех серверах закрыл вообще доступ на 8083.
Повторюсь - конкретно у меня в мир смотрели только 80,443 и 8083 все остальное закрыто.Проблему с дыркой в сайте исключаем т.к. сервер пустой.
Я бы вам с удовольствием дал на растерзание сломаный сервер, но это вдс и хостер его постоянно блочит )
Вобщем будем смотреть, если с закрытой вестой взлом повторится - отпишусь.
Re: Возможная уязвимость в Vesta 0.9.8.19
убейте его, он создает файлы в /etc/init.d /etc/cron.daily и /usr/sbin (помоему, но луче посмотреть что запускает скрипт в /etc/init.d)
и только сейчас увидел - на первой странице обсуждения есть даже мануал
Re: Возможная уязвимость в Vesta 0.9.8.19
У себя взаимосвязи вообще не вижу. Установка везде была с одинаковым набором параметров в разное время. Из 9 серверов (7 мои 2 обслуживаю) взломали только один со свежей установкой панели, но при этом были еще два с аналогичной установкой в тот же день, их не взломали. В англоязычной теме грешат на roundcube, у меня он на всех серверах стоит и доступен по стандартному пути, сейчас удаляю его, так как не пользуюсь.
Re: Возможная уязвимость в Vesta 0.9.8.19
Думаю нашли уязвимость. Фикс будет сегодня