Возможная уязвимость в Vesta 0.9.8.19
Posted: Sat Apr 07, 2018 2:38 pm
Всем привет. Сегодня столкнулся со странной ситуацией - хостер заблокировал мою VPS из-за ддоса на другие ресурсы. Сначала я не понял в чём суть и запросил подробности и вот их ответ (хостер FastVPS):
Сразу скажу, что сервер был переустановлен с нуля примерно 3 недели назад на CentOS 7.4, соответственно с последней версией весты и со всеми обновлениями.
Сейчас пытаюсь разобраться с хостером чтобы получить логи сервера и понять, действительно ли это как-то связано.
Не буду утверждать что в последней версии весты действительно есть уязвимость, но хостер намекает об этом.К большому сожалению, сообщаем, что, сервер был взломан и с него была исходящая сетевая атака на другие серверы. Так же злоумышленниками получен доступ к аккаунту суперпользователя root.
В виду того, что избавиться от последствий такого взлома практически невозможно, единственный вариант который мы можем Вам предложить это полная переустановка сервера с удалением всех данных на нём (безусловно предварительно можно сделать бекап важных данных, который будет подключен к серверу или выдан Вам после переустановки).
>> На данный момент, без доступа к серверу, я вообще не представляю источник и причину заражения. Были установлены ClamAV, работали iptables и fail2ban для авторизаций по ssh, а паролем для root-пользователя я вообще пользовался один раз, и сразу после переустановки включил доступ по ssh-ключу (с минимально возможными разрешениями на файл). И практически каждую неделю я обновлял пакеты из репозиториев, поэтому устаревшие уязвимые версии ПО тоже исключаю.
К сожалению, мы не являемся специалистами по сетевой безопасности и нам сложно отслеживать конкретные причины. Одновременно с этим, однако судя по всему взлом был как-то связан с vesta и roundcube. Т.к. одновременно с Вашим возникли проблемы ещё на нескольких серверах наших клиентов в аналогичными симптомами. На этих серверах так же стояла Vesta и вредоносные процессы имели текущей рабочей директорией директорию roundcube, при этом дистрибутивы linux отличались.
Сразу скажу, что сервер был переустановлен с нуля примерно 3 недели назад на CentOS 7.4, соответственно с последней версией весты и со всеми обновлениями.
Сейчас пытаюсь разобраться с хостером чтобы получить логи сервера и понять, действительно ли это как-то связано.