Возможная уязвимость в Vesta 0.9.8.19

[thorvaldr]

Итого, что нашел после просмотра своих логов и заббикса

Code: Select all

for i in `find /var/log/nginx/ -type f -name *.gz`; do zcat $i | grep webmail; done                                                                                                            
2018/04/04 13:24:07 [error] 6605#6605: *98410 FastCGI sent in stderr: "PHP message: PHP Warning:  Declaration of rcmail::get_instance($env = '') should be compatible with rcube::get_instance($mode = 0, $env = '') in /usr/share/roundcubemail/program/include/rcmail.php on line 30" while reading response header from upstream, client: 119.82.29.17, server: zzzzz.com, request: "HEAD /webmail/ HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "zzzz.com", referrer: "http://zzzz.com/webmail/"
119.82.29.17 - - [04/Apr/2018:13:24:07 +0300] "HEAD /webmail/ HTTP/1.1" 200 0 "http://zzzz.com/webmail/" "Googlebot/2.1 (+http://www.google.com/bot.html)"

[StudioMaX]

Code: Select all

HEAD /webmail/

это мы уже видели раньше, а вот ошибка строкой выше... каким образом она могла произойти от обычного HEAD-запроса?

UPD: всё верно, это strict-ошибка из-за неправильного экстенда класса, к нам не относится

[Metallurg.IT]

Нужны логи и прямые доказательства взлома через панель. Пока таких логов не предоставили.

Могу предоставить вам полный доступ к серверу зараженному, навсякий случай сделал бекап для развертывания и последующего разбтирательства.
Если нужен, черкните в ЛС, я предоставлю все доступы.

[yariksat]

ОК,вроде как выяснили что проблема в круглокубе.Как его теперь правильно обновить?Как я понимаю это нужно обязательно сделать?

[one]

ОК,вроде как выяснили что проблема в круглокубе.Как его теперь правильно обновить?Как я понимаю это нужно обязательно сделать?

В CentOS как обычно yum update а вот в Debian 9 apt-get что то не тянет последнюю версию.

[imperio]

https://github.com/roundcube/roundcubem ... /tag/1.3.6
Используйте инструкцию
https://github.com/roundcube/roundcubemail/wiki/Upgrade

[linca]

Че-то я файлов не нашел, но после 10 числа сервер ведет себя странно... Вообщем как все было:

1. Сервер потух, панель работала, но апач благополучно лежал. При этом причиной кажется был exim, потому что в панели на графике скачки активности, причем начались они с начала-серидины марта, что видно на графиках: https://pastenow.ru/4476efffedfba3b2d96dcaef471ab640 https://pastenow.ru/eddab4f8d8f43487065aa5cf3fa7d9d6. Я благополучно включил сервер, порылся в гугле (в логах exim было куча frozen), нашел инструкцию как исправить и благополучно забыл.
2. После того как хостер прислал уведомление о уязвимости - полез в панель посмотреть, что там происходит, и вижу, что аккурат с того дня, как лег сервер у меня выросло количество запущенных процессов почти вдвое: https://pastenow.ru/20ae85e3a75dbcd827f36d0056e719fd. При этом эта прибавка в основном из-за процессов mysql - их стало нереально много... Они висят, память не жрут, цп тоже вроде не грузят, но откуда их столько появилось - загадка. Перезапуск mysql не помог...

В общем, если подскажете в какую сторону копнуть - буду весьма признателен.

[imperio]

Здравствуйте. Ваше сообщение не имеет отношения к данной теме. У вируса, который тут обсуждается есть вполне определенные признаки.

[linca]

Здравствуйте. Ваше сообщение не имеет отношения к данной теме. У вируса, который тут обсуждается есть вполне определенные признаки.

Я, если честно, вообще ни одного признака в этой теме не нашел, кроме файлов gcc и libudev... А это такие признаки, которые и все время существования сервера можно не заметить, не каждый же день проверяешь крон и папку usr/lib... может конечно невнимательно читал, но завтра прочитаю полностью...

[deeprus]

https://github.com/roundcube/roundcubem ... /tag/1.3.6
Используйте инструкцию
https://github.com/roundcube/roundcubemail/wiki/Upgrade

Debian 9. Сервер полностью переустанавливался с нуля 5 апреля и тогда же перешёл на Весту с ISPManager.
Троян обнаружился 9 апреля после письма от хостера с предупреждением о возможном заражении. Почистил всё.

Вчера обновил Roundcube по вышеуказанной инструкции с Гитхаба. На настойчивые напоминания про бэкап забил, так как всё равно "кубиком" не пользуюсь. В итоге скрипт обновлений отработал без ошибок, но Roundcube после этого помер, выдавая ошибку "невозможно соединиться с базой данных". База на месте, видимо конфиги переписались или ещё что.

В общем, кто им пользуется - делайте бэкап перед обновлением! :)

А у меня такой вопрос теперь - можно ли вообще выпилить Roundcube, не повлияет ли это на работу панели? И если можно - то как лучше?

Вот по этой инструкции - viewtopic.php?f=12&t=13344&p=54106#p54106 - удалил веб-интерфейс. Но думаю, что лучше его вообще снести, если он не используется.