We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
Возможная уязвимость в Vesta 0.9.8.19
Re: Возможная уязвимость в Vesta 0.9.8.19
Итого, что нашел после просмотра своих логов и заббикса
Code: Select all
for i in `find /var/log/nginx/ -type f -name *.gz`; do zcat $i | grep webmail; done
2018/04/04 13:24:07 [error] 6605#6605: *98410 FastCGI sent in stderr: "PHP message: PHP Warning: Declaration of rcmail::get_instance($env = '') should be compatible with rcube::get_instance($mode = 0, $env = '') in /usr/share/roundcubemail/program/include/rcmail.php on line 30" while reading response header from upstream, client: 119.82.29.17, server: zzzzz.com, request: "HEAD /webmail/ HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "zzzz.com", referrer: "http://zzzz.com/webmail/"
119.82.29.17 - - [04/Apr/2018:13:24:07 +0300] "HEAD /webmail/ HTTP/1.1" 200 0 "http://zzzz.com/webmail/" "Googlebot/2.1 (+http://www.google.com/bot.html)"
Re: Возможная уязвимость в Vesta 0.9.8.19
Code: Select all
HEAD /webmail/
UPD: всё верно, это strict-ошибка из-за неправильного экстенда класса, к нам не относится
-
- Posts: 172
- Joined: Tue Jan 28, 2014 10:11 am
Re: Возможная уязвимость в Vesta 0.9.8.19
Могу предоставить вам полный доступ к серверу зараженному, навсякий случай сделал бекап для развертывания и последующего разбтирательства.
Если нужен, черкните в ЛС, я предоставлю все доступы.
Re: Возможная уязвимость в Vesta 0.9.8.19
ОК,вроде как выяснили что проблема в круглокубе.Как его теперь правильно обновить?Как я понимаю это нужно обязательно сделать?
Re: Возможная уязвимость в Vesta 0.9.8.19
Че-то я файлов не нашел, но после 10 числа сервер ведет себя странно... Вообщем как все было:
1. Сервер потух, панель работала, но апач благополучно лежал. При этом причиной кажется был exim, потому что в панели на графике скачки активности, причем начались они с начала-серидины марта, что видно на графиках: https://pastenow.ru/4476efffedfba3b2d96dcaef471ab640 https://pastenow.ru/eddab4f8d8f43487065aa5cf3fa7d9d6. Я благополучно включил сервер, порылся в гугле (в логах exim было куча frozen), нашел инструкцию как исправить и благополучно забыл.
2. После того как хостер прислал уведомление о уязвимости - полез в панель посмотреть, что там происходит, и вижу, что аккурат с того дня, как лег сервер у меня выросло количество запущенных процессов почти вдвое: https://pastenow.ru/20ae85e3a75dbcd827f36d0056e719fd. При этом эта прибавка в основном из-за процессов mysql - их стало нереально много... Они висят, память не жрут, цп тоже вроде не грузят, но откуда их столько появилось - загадка. Перезапуск mysql не помог...
В общем, если подскажете в какую сторону копнуть - буду весьма признателен.
1. Сервер потух, панель работала, но апач благополучно лежал. При этом причиной кажется был exim, потому что в панели на графике скачки активности, причем начались они с начала-серидины марта, что видно на графиках: https://pastenow.ru/4476efffedfba3b2d96dcaef471ab640 https://pastenow.ru/eddab4f8d8f43487065aa5cf3fa7d9d6. Я благополучно включил сервер, порылся в гугле (в логах exim было куча frozen), нашел инструкцию как исправить и благополучно забыл.
2. После того как хостер прислал уведомление о уязвимости - полез в панель посмотреть, что там происходит, и вижу, что аккурат с того дня, как лег сервер у меня выросло количество запущенных процессов почти вдвое: https://pastenow.ru/20ae85e3a75dbcd827f36d0056e719fd. При этом эта прибавка в основном из-за процессов mysql - их стало нереально много... Они висят, память не жрут, цп тоже вроде не грузят, но откуда их столько появилось - загадка. Перезапуск mysql не помог...
В общем, если подскажете в какую сторону копнуть - буду весьма признателен.
Re: Возможная уязвимость в Vesta 0.9.8.19
Здравствуйте. Ваше сообщение не имеет отношения к данной теме. У вируса, который тут обсуждается есть вполне определенные признаки.
Re: Возможная уязвимость в Vesta 0.9.8.19
Я, если честно, вообще ни одного признака в этой теме не нашел, кроме файлов gcc и libudev... А это такие признаки, которые и все время существования сервера можно не заметить, не каждый же день проверяешь крон и папку usr/lib... может конечно невнимательно читал, но завтра прочитаю полностью...
Re: Возможная уязвимость в Vesta 0.9.8.19
Debian 9. Сервер полностью переустанавливался с нуля 5 апреля и тогда же перешёл на Весту с ISPManager.imperio wrote: ↑Fri Apr 13, 2018 4:52 pmhttps://github.com/roundcube/roundcubem ... /tag/1.3.6
Используйте инструкцию
https://github.com/roundcube/roundcubemail/wiki/Upgrade
Троян обнаружился 9 апреля после письма от хостера с предупреждением о возможном заражении. Почистил всё.
Вчера обновил Roundcube по вышеуказанной инструкции с Гитхаба. На настойчивые напоминания про бэкап забил, так как всё равно "кубиком" не пользуюсь. В итоге скрипт обновлений отработал без ошибок, но Roundcube после этого помер, выдавая ошибку "невозможно соединиться с базой данных". База на месте, видимо конфиги переписались или ещё что.
В общем, кто им пользуется - делайте бэкап перед обновлением! :)
А у меня такой вопрос теперь - можно ли вообще выпилить Roundcube, не повлияет ли это на работу панели? И если можно - то как лучше?
Вот по этой инструкции - viewtopic.php?f=12&t=13344&p=54106#p54106 - удалил веб-интерфейс. Но думаю, что лучше его вообще снести, если он не используется.