Возможная уязвимость в Vesta 0.9.8.19
Re: Возможная уязвимость в Vesta 0.9.8.19
Пробежал глазами сегодня багтраки и пару хак форумов, единственное что похоже на правду https://devco.re/blog/2018/03/06/exim-o ... 8-6789-en/Oliver2017 wrote: ↑Sun Apr 08, 2018 8:33 pmРасковырял бинарник, в нем ровно то что я написал выше.
Щас попробую скинуть код.
1 Bypassing бага, я не силен в написании сплоитов, поэтому конкретно утверждать не берусь
2 на чистую вдс веста тянет
Посмотри может ты поймешь что к чему.# exim -bV
Exim version 4.89 #1 built 10-Feb-2018 08:26:05
Re: Возможная уязвимость в Vesta 0.9.8.19
та же беда, 2 сервера на centos 6, 1 на centos 7
Re: Возможная уязвимость в Vesta 0.9.8.19
Брут... У меня такое банилось... Не должно. Пароли генерировал
Re: Возможная уязвимость в Vesta 0.9.8.19
Англоязычные товарищи пишут, что DO отключает сеть дроплетам под управлением Vesta. Мои два, кажется, не заражены, но будет просто прекрасно если их отключат и придётся всё переносить. Слов нет. Приходили кому уже такие письма счастья?
Re: Возможная уязвимость в Vesta 0.9.8.19
по поводу DIgitalOcean он банит порт 8083
в данный момент забанены сервера Нью-йорк3
потому порт в весте поменяйте и ждите залатку от разработчиков весты
в данный момент забанены сервера Нью-йорк3
потому порт в весте поменяйте и ждите залатку от разработчиков весты
Re: Возможная уязвимость в Vesta 0.9.8.19
Подтверждаю есть взлом. Из 30+ клиентов проблема у двоих. Общее: Centos7, 2 версии php 56 и 71, Свежая установка. ngixn + php-fpm.
Cloudflare как dns. Разные провайдеры но centos развернута с template. Поскольку клиент просил сделать переключатель между версиями php , я развернул на своем сервер vds установил туда сentos с образа. Моя вдс на сейчас остается чистой, возможно потому что я пробрасываю X порт с хоста на 8083 на guest. Сервера заражены BillGates botnet.
Cloudflare как dns. Разные провайдеры но centos развернута с template. Поскольку клиент просил сделать переключатель между версиями php , я развернул на своем сервер vds установил туда сentos с образа. Моя вдс на сейчас остается чистой, возможно потому что я пробрасываю X порт с хоста на 8083 на guest. Сервера заражены BillGates botnet.
Re: Возможная уязвимость в Vesta 0.9.8.19
Хорошо было бы пароли которые генерируются к юзеру админ увеличить и аналогично для обычных юзеровimperio wrote: ↑Sun Apr 08, 2018 8:38 pmНе понимаем пока как взломы связаны с vestacp, везде разная информация. Кто-то пишет что проблема в api vestacp, проверили, но маловероятно. Не можем возпроизвести. Кто-то что проблема с раундкубе и начинается всё с него, тут же находятся те, у кого раундкубе не установлен. В сети пишут что заражались даже без Весты, простым брутфорсом. Логи тоже ничего не показывают. Через час-два выйдет 0.9.8-20, в котором ужесточена проверка паролей.
что 10 символом что 20 все одинаково все равно все копируют его себе в заметки
а от брута поможет нормально,
когда сервер сламали начинают с помощью сломанного сервера дальше другие брутить
и в большинстве случаев ето делает тупой бот
потому было бы хорошо добавить в весту фаервол для исходящих подключений а не только для входящих,
Re: Возможная уязвимость в Vesta 0.9.8.19
Если бы пароли сбрутили то была бы информация в логах auth.log об успешной авторизации
Re: Возможная уязвимость в Vesta 0.9.8.19
Машин 10, заражена 1, был нестандартный порт, на пользователей 20знаки, почту не использовал (на яндекс привязана). Уже вычистил.
Offtop: неделю назад хотел сделать доступность панели по стучалке по портам (используя knock-server):
Правило opencloseSSH открывает доступ к ssh на шесть часов.
Правило opencloseVestaPanel открывает доступ к панели управления Vesta на пол часа.
Но так руки и не дошли ((
Полная статья: тут
Offtop: неделю назад хотел сделать доступность панели по стучалке по портам (используя knock-server):
Правило opencloseSSH открывает доступ к ssh на шесть часов.
Правило opencloseVestaPanel открывает доступ к панели управления Vesta на пол часа.
Но так руки и не дошли ((
Полная статья: тут