Возможная уязвимость в Vesta 0.9.8.19

[omega80]

Похоже так и есть

все таки получается мое предположение выше об открытии по стучалке по портам в данном случае (естественно если не производились работы в момент глобального заражения) помогло?
upd: у меня был сменен порт на весту, получается просканировали ip и нашли порт весты? А отключение учетной записи admin не несет в себе подводных камней для работы самой панели?

[ruport]

Объясните: обновить VestaCP до релиза 20 достаточно?
Или сервер уже заражен и нужно удалять с него все вредоносные скрипты, либо переустановить все заново?

[DeaDSandro]

Если к вам в квартиру пробрались воры или просто хулиганье, то сменить входную дверь просто достаточно? Или все-таки вы предпочтете убрать незнакомых вам людей из квартиры прежде.

[Oliver2017]

Вообщем нашел такую строку вот с него всё начинается

Code: Select all

./audit/audit.log.2:type=SYSCALL msg=audit(1522662522.959:349624): arch=40000003 syscall=102 success=no exit=-1 a0=1 a1=f59731d0 a2=0 a3=f5973b90 items=0 ppid=1 pid=25462 auid=0 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="update" exe="/tmp/update" subj=unconfined_u:system_r:httpd_t:s0 key=(null)

subj=unconfined_u:system_r:httpd_t:s0

/tmp/update содержал следущее

Code: Select all

#!/bin/sh
# chkconfig: 12345 90 90
# description: update
### BEGIN INIT INFO
# Provides:		update
# Required-Start:	
# Required-Stop:	
# Default-Start:	1 2 3 4 5
# Default-Stop:		
# Short-Description:	update
### END INIT INFO
case $1 in
start)
	/tmp/update
	;;
stop)
	;;
*)
	/tmp/update
	;;
esac

[romani]

Интересно, а Vesta 0.9.8.17 подвержены этой уязвимости? Как то решил не обновлять то что работает исправно, когда вышла 19-ая.

[neznae4ko]

Вроде меня не успели взломать. НО! DOcean заблочили весь трафик на 8083 порт. Как мне перенести панель на другой порт?

[owll]

v-update-sys-vesta-all

и чет нифига не обновляет

[Djalin]

Тоже не обновляет

Code: Select all

v-update-sys-vesta-all: 13: v-update-sys-vesta-all: source: not found
v-update-sys-vesta-all: 16: v-update-sys-vesta-all: source: not found
v-update-sys-vesta-all: 17: v-update-sys-vesta-all: source: not found
v-update-sys-vesta-all: 26: v-update-sys-vesta-all: /v-update-sys-vesta: not found
v-update-sys-vesta-all: 26: v-update-sys-vesta-all: /v-update-sys-vesta: not found
v-update-sys-vesta-all: 26: v-update-sys-vesta-all: /v-update-sys-vesta: not found
v-update-sys-vesta-all: 26: v-update-sys-vesta-all: /v-update-sys-vesta: not found
v-update-sys-vesta-all: 26: v-update-sys-vesta-all: /v-update-sys-vesta: not found

Файлов и крон-задачи нет, но есть



З.Ы.

Проверял

Code: Select all

/usr/lib/
/usr/bin/
/root/
/tmp/
/etc/rc*.d/
/etc/ 

так как в етих каталогах были, может еще где?

[owll]

И чистую ставит 0.9.8 и не обновляет

[nitsik]

Не забудьте убить все процессы вируса и удалить файлы вируса если система не переустанавливалась
https://superuser.com/questions/877896/ ... 24#1004724

Пытаюсь выполнить инструкции. Подскажите по третьему пункту:
"Удалите все /etc/rc{0,1,2,3,4,5,6,S}.dфайлы, которые были созданы сегодня. Имя похоже S01????????."
Файлов таких нет, есть только папки:

Какие-то из них надо удалить?