Возможная уязвимость в Vesta 0.9.8.19

Djalin · Post by **Djalin** » Sun Apr 08, 2018 7:28 pm

Я сейчас прогоняю антивирусом, в кроне не сама зараза (тот самый gcc.sh), посмотрите что у вас есть нового в

/usr/lib/
/usr/bin/
/root/
/tmp/
/etc/rc*.d/
/etc/

Файлы там имею новые даты и/или права 777

запустите

clamscan -i -r --max-dir-recursion 500 /

Советуют еще остановить панель, но у меня ничего не дало.

Впрочем как и ручная чистка

piroma · Post by **piroma** » Sun Apr 08, 2018 8:06 pm

Этим способом лечится точно.
https://superuser.com/questions/877896/ ... 24#1004724

AKr0nizz · Post by **AKr0nizz** » Sun Apr 08, 2018 8:09 pm

piroma wrote: ↑
Sun Apr 08, 2018 8:06 pm
Этим способом лечится точно.
https://superuser.com/questions/877896/ ... 24#1004724

Да проблема не в этом. Главное чтобы дыру закрыли. Потому, что если дыру не закрыть - будешь чистить дыру бесконечено.

Oliver2017 · Post by **Oliver2017** » Sun Apr 08, 2018 8:26 pm

Приветствую всех,

Хочу поделится своими наблюдениями, не гоните пока на VESTA
У меня сервер под рукой можно так саказать, стоит за микротиком, все порты обрезаны.

Заметил что микротик стал отваливатся. Cмотрю сервер шлет или ему шлют китайщина

59.56.66.67:8811
61.133.6.142:50005

Хочу заметить это только на серверах NGINX + PHPFPM
Есть сервак NGINX+APACHE там чисто все, может не добрались пока.... но на всякий случай вырубил vsetu

открыты только

53(tcp udp)
80(tcp)
443(tcp)
587(tcp)
465(tcp)
143(tcp)

Доступен webmail на всех доменах

Возможно это roundcube, сейчас буду лазить, смотреть логи

прописалась такая херня,

/etc/init.d/naczduajmy
--------------------------------
#!/bin/sh
# chkconfig: 12345 90 90
#description: naczduajmy
# Provides: naczduajmy
# Default-Start: 1 2 3 4 5
# Default-Stop:

case $1 in
start)
/usr/bin/naczduajmy
;;
stop)
/usr/bin/naczduajmy
;;

AKr0nizz · Post by **AKr0nizz** » Sun Apr 08, 2018 8:30 pm

Понятно, что веста сейчас один из топовых продуктов в этой ветке.

Просто действительно хочется разобраться в этой ситуации.

Oliver2017 · Post by **Oliver2017** » Sun Apr 08, 2018 8:33 pm

Расковырял бинарник, в нем ровно то что я написал выше.
Щас попробую скинуть код.

Post by **imperio** » Sun Apr 08, 2018 8:38 pm

Не понимаем пока как взломы связаны с vestacp, везде разная информация. Кто-то пишет что проблема в api vestacp, проверили, но маловероятно. Не можем возпроизвести. Кто-то что проблема с раундкубе и начинается всё с него, тут же находятся те, у кого раундкубе не установлен. В сети пишут что заражались даже без Весты, простым брутфорсом. Логи тоже ничего не показывают. Через час-два выйдет 0.9.8-20, в котором ужесточена проверка паролей.

C00ller · Post by **C00ller** » Sun Apr 08, 2018 8:40 pm

5 серверов, centos 7, хосты разные, связки apache/nginx/php разные, на одном крутится roundcube. Ни один не заражен (тьфу*3р.). Панель вырубил, конечно, на всяк случ.

DO вон чего выкатил: https://do.co/vesta-vuln

Пока не доказано обратное, в виновники записали Весту :(

Djalin · Post by **Djalin** » Sun Apr 08, 2018 8:42 pm

У мені апач и nginx проблема есть.

[email protected] · Post by **[email protected]** » Sun Apr 08, 2018 8:43 pm

imperio wrote: ↑
Sun Apr 08, 2018 8:38 pm
В сети пишут что заражались даже без Весты, простым брутфорсом.

Пароли сложные, не 128 бит конечно но 12 символов со спецсимволами

Vesta Control Panel - Forum

Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Login • Register