Возможная уязвимость в Vesta 0.9.8-22 Topic is solved

[imperio]

Попробуйте использовать

Code: Select all

su root

Если рут совсем запрещен в конфиге, то обратитесь к хостеру чтобы они разрешили использование root в настройках ssh
Далее новому пользователю назначьте привилегии sudo

[Stesh]

Написать простейший скрипт, разблокирующий рута, положить в /usr/local/vesta/bin/, выполнить.

[yariksat]

Источник здесь http://www.opennet.ru/opennews/art.shtml?num=49457

Спасибо за ссылку,для меня это многое объяснило.С оттуда пошел ещё и на английскую ветку почитать.Много интересного вычитал и там.Ну что тут можно сказать.Holy shit...
Вот тебе и ддос на меня месячный

Вредоносная программа, упавшая на скомпрометированных серверах, является вариантом нового штамма DDoS-вредоносного ПО, которое мы называем ChachaDDoS. Это похоже на эволюцию нескольких существующих вредоносных программ DDoS.

в результате которого чтобы его отбить мы полиняли на хорошее $ и остальное.Писал об этом ещё сразу почти.Что ДДОСят по наличию самой панели,стоит сменить панель как тишина.Это кстати так же нашли спецы которые помогали бороться с ДДОСом.Назвали параноиком.А мою паранойю нашли обычные дотошные юзера,и даже не команда весты.С отправкой паролей на сервер вообще классика,тут как не странно нам помогла моя паранойя,тем что наши пароли таки не были скомпрометированы.
Тем не менее заседанием коллегии было принято решение о миграции на ISP.Наш хостер ничего не хочет слышать о панели Vesta и грозится заблокировать сервера если на них будут делаться новые установки панели Vesta.Вот такие вот пироги,с котятами.

[imperio]

Дело вашего хостера конечно. Но он не в праве решать какое ПО ставить на сервера его пользователям.
Ещё не слышал чтобы хостеры запрещали ставить панель на сервера из-за данной атаки, да ставили ограничения, блокировки порта, но не блокировали установку и работу Vesta. На данный момент проблема с атакой решена.

Писал об этом ещё сразу почти.Что ДДОСят по наличию самой панели,стоит сменить панель как тишина.Это кстати так же нашли спецы которые помогали бороться с ДДОСом.Назвали параноиком.

Мы и не отрицали что это связано с панелью. Где мы писали что это точно не VestaCP ?
Вопрос был в том чтобы найти как происходили взломы. Из-за api/index.php наш сервер был тоже скомпрометирован, потом добавили код в инсталлятор и получили доступ к базам статистики. Взломы продолжились.
Сейчас мы усилили безопасность Vesta.

[yariksat]

Дело вашего хостера конечно. Но он не в праве решать какое ПО ставить на сервера его пользователям.
Ещё не слышал чтобы хостеры запрещали ставить панель на сервера из-за данной атаки, да ставили ограничения, блокировки порта, но не блокировали установку и работу Vesta. На данный момент проблема с атакой решена.

Не знаю даже,сейчас покажу это хостеру.Боятся что позагоняем в спам-базу его чистые IP.Потом их вытаскивать оттуда долго и нудно и остальное бла-бла-бла от него.Хотя не один сервер не был взломан.Перестраховщики мля.
Увидели соседнюю тему и гонят нам жути.Написал что пофиксили уже,пока молчат.

[imperio]

Со спамом это никак не связано. Вирус отправлял множество запросов, в связи с этим был аномальный расход трафика серверами (ddos)

[yariksat]

Со спамом это никак не связано. Вирус отправлял множество запросов, в связи с этим был аномальный расход трафика серверами (ddos)

Ну так это хостеру еще доказать нужно.Вроде как доказали,на пока попустился.У него много серверов соседних взломали,с его слов.Вот он и дерганный.Панель хорошая,я привык к ней.
Вирус получается по признаку панели другие сервера атаковал?ДДОСил в смысле.

[imperio]

Да, исходящий трафик. Но вот на что была направлена атака неизвестно. Думаю что да, какой то сервер, сайт.
Логи аккуратненько подчищались сразу после взлома.

[Alex Connor]

классная штука есть, logz.io
раз настроил, какие логи смотреть передавать, и все, можно смотреть с их панельки, анализировать и т.д. взломали? подчистили? не беда, увидим, найдем)

[weblamers]

Когда обновление, где помотреть?