Page 1 of 24

Возможная уязвимость в Vesta 0.9.8.19

Posted: Sat Apr 07, 2018 2:38 pm
by StudioMaX
Всем привет. Сегодня столкнулся со странной ситуацией - хостер заблокировал мою VPS из-за ддоса на другие ресурсы. Сначала я не понял в чём суть и запросил подробности и вот их ответ (хостер FastVPS):
К большому сожалению, сообщаем, что, сервер был взломан и с него была исходящая сетевая атака на другие серверы. Так же злоумышленниками получен доступ к аккаунту суперпользователя root.

В виду того, что избавиться от последствий такого взлома практически невозможно, единственный вариант который мы можем Вам предложить это полная переустановка сервера с удалением всех данных на нём (безусловно предварительно можно сделать бекап важных данных, который будет подключен к серверу или выдан Вам после переустановки).

>> На данный момент, без доступа к серверу, я вообще не представляю источник и причину заражения. Были установлены ClamAV, работали iptables и fail2ban для авторизаций по ssh, а паролем для root-пользователя я вообще пользовался один раз, и сразу после переустановки включил доступ по ssh-ключу (с минимально возможными разрешениями на файл). И практически каждую неделю я обновлял пакеты из репозиториев, поэтому устаревшие уязвимые версии ПО тоже исключаю.

К сожалению, мы не являемся специалистами по сетевой безопасности и нам сложно отслеживать конкретные причины. Одновременно с этим, однако судя по всему взлом был как-то связан с vesta и roundcube. Т.к. одновременно с Вашим возникли проблемы ещё на нескольких серверах наших клиентов в аналогичными симптомами. На этих серверах так же стояла Vesta и вредоносные процессы имели текущей рабочей директорией директорию roundcube, при этом дистрибутивы linux отличались.
Не буду утверждать что в последней версии весты действительно есть уязвимость, но хостер намекает об этом.
Сразу скажу, что сервер был переустановлен с нуля примерно 3 недели назад на CentOS 7.4, соответственно с последней версией весты и со всеми обновлениями.

Сейчас пытаюсь разобраться с хостером чтобы получить логи сервера и понять, действительно ли это как-то связано.

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sat Apr 07, 2018 4:40 pm
by usr999
Тоже самое! сервак взломан и кто то досит с него

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sat Apr 07, 2018 7:08 pm
by imperio

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sat Apr 07, 2018 7:14 pm
by StudioMaX
Борьба со следствием уже не так важна, как важно узнать причину заражения. И это никак не слабый пароль.

Давайте перейдём в смежную тему, там больше людей с этой проблемой.

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 4:34 am
by yariksat
Сменить порт весты на произвольный и закрыть доступ к порту только для своего IP.Таких мер временно будет достаточно или лучше остановить панель?

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 9:14 am
by imperio
Остановите пока веб-интерфейс. Сейчас разбираемся что происходит. Пока не можем уловить связь между панелью и взломами

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 9:24 am
by AKr0nizz
Подтверждаю, у меня тоже VPS был взломан. Причина суспенда сервера со стороны хостера: рассылка спама.

Версия весты:
0.9.8 - 19

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 9:44 am
by rutrum
Есть два сервер под управлением Vesta, один сервер взломали (Ubuntu 14.04.5/Vesta 0.9.8-19). Разница между ними в том, что не взломанный (Ubuntu 16.04.3/Vesta 0.9.8-19) сервер был полностью за Сloudflare (не отсвечивал в мир своим реальным ip). При этом у обоих серверов панель была доступна по адресу https://maindomain.com:8083/.

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 10:18 am
by abst
Взломали один сервер на Centos 7, на нем стояла только Vesta, сайты залить еще не успел. По сути только установка весты из коробки и смена порта ssh на кастомный.

Установка была с параметрами: bash vst-install.sh --nginx yes --apache yes --phpfpm no --named no --remi yes --vsftpd yes --proftpd no --iptables yes --fail2ban no --quota no --exim yes --dovecot no --spamassassin no --clamav no --softaculous no --mysql yes --postgresql no

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 10:21 am
by imperio
Как проявился взлом?