We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
Возможная уязвимость в Vesta 0.9.8.19
Re: Возможная уязвимость в Vesta 0.9.8.19
Я сейчас прогоняю антивирусом, в кроне не сама зараза (тот самый gcc.sh), посмотрите что у вас есть нового в
запустите
Советуют еще остановить панель, но у меня ничего не дало.
Впрочем как и ручная чистка
Файлы там имею новые даты и/или права 777/usr/lib/
/usr/bin/
/root/
/tmp/
/etc/rc*.d/
/etc/
запустите
Code: Select all
clamscan -i -r --max-dir-recursion 500 /
Впрочем как и ручная чистка
Re: Возможная уязвимость в Vesta 0.9.8.19
Этим способом лечится точно.
https://superuser.com/questions/877896/ ... 24#1004724
https://superuser.com/questions/877896/ ... 24#1004724
Re: Возможная уязвимость в Vesta 0.9.8.19
Да проблема не в этом. Главное чтобы дыру закрыли. Потому, что если дыру не закрыть - будешь чистить дыру бесконечено.piroma wrote: ↑Sun Apr 08, 2018 8:06 pmЭтим способом лечится точно.
https://superuser.com/questions/877896/ ... 24#1004724
-
- Posts: 8
- Joined: Fri Oct 21, 2016 7:48 pm
- Os: CentOS 7x
- Web: nginx + php-fpm
Re: Возможная уязвимость в Vesta 0.9.8.19
Приветствую всех,
Хочу поделится своими наблюдениями, не гоните пока на VESTA
У меня сервер под рукой можно так саказать, стоит за микротиком, все порты обрезаны.
Заметил что микротик стал отваливатся. Cмотрю сервер шлет или ему шлют китайщина
59.56.66.67:8811
61.133.6.142:50005
Хочу заметить это только на серверах NGINX + PHPFPM
Есть сервак NGINX+APACHE там чисто все, может не добрались пока.... но на всякий случай вырубил vsetu
открыты только
53(tcp udp)
80(tcp)
443(tcp)
587(tcp)
465(tcp)
143(tcp)
Доступен webmail на всех доменах
Возможно это roundcube, сейчас буду лазить, смотреть логи
прописалась такая херня,
/etc/init.d/naczduajmy
--------------------------------
#!/bin/sh
# chkconfig: 12345 90 90
#description: naczduajmy
# Provides: naczduajmy
# Default-Start: 1 2 3 4 5
# Default-Stop:
case $1 in
start)
/usr/bin/naczduajmy
;;
stop)
/usr/bin/naczduajmy
;;
Хочу поделится своими наблюдениями, не гоните пока на VESTA
У меня сервер под рукой можно так саказать, стоит за микротиком, все порты обрезаны.
Заметил что микротик стал отваливатся. Cмотрю сервер шлет или ему шлют китайщина
59.56.66.67:8811
61.133.6.142:50005
Хочу заметить это только на серверах NGINX + PHPFPM
Есть сервак NGINX+APACHE там чисто все, может не добрались пока.... но на всякий случай вырубил vsetu
открыты только
53(tcp udp)
80(tcp)
443(tcp)
587(tcp)
465(tcp)
143(tcp)
Доступен webmail на всех доменах
Возможно это roundcube, сейчас буду лазить, смотреть логи
прописалась такая херня,
/etc/init.d/naczduajmy
--------------------------------
#!/bin/sh
# chkconfig: 12345 90 90
#description: naczduajmy
# Provides: naczduajmy
# Default-Start: 1 2 3 4 5
# Default-Stop:
case $1 in
start)
/usr/bin/naczduajmy
;;
stop)
/usr/bin/naczduajmy
;;
Re: Возможная уязвимость в Vesta 0.9.8.19
Понятно, что веста сейчас один из топовых продуктов в этой ветке.
Просто действительно хочется разобраться в этой ситуации.
Просто действительно хочется разобраться в этой ситуации.
-
- Posts: 8
- Joined: Fri Oct 21, 2016 7:48 pm
- Os: CentOS 7x
- Web: nginx + php-fpm
Re: Возможная уязвимость в Vesta 0.9.8.19
Расковырял бинарник, в нем ровно то что я написал выше.
Щас попробую скинуть код.
Щас попробую скинуть код.
Re: Возможная уязвимость в Vesta 0.9.8.19
Не понимаем пока как взломы связаны с vestacp, везде разная информация. Кто-то пишет что проблема в api vestacp, проверили, но маловероятно. Не можем возпроизвести. Кто-то что проблема с раундкубе и начинается всё с него, тут же находятся те, у кого раундкубе не установлен. В сети пишут что заражались даже без Весты, простым брутфорсом. Логи тоже ничего не показывают. Через час-два выйдет 0.9.8-20, в котором ужесточена проверка паролей.
Re: Возможная уязвимость в Vesta 0.9.8.19
5 серверов, centos 7, хосты разные, связки apache/nginx/php разные, на одном крутится roundcube. Ни один не заражен (тьфу*3р.). Панель вырубил, конечно, на всяк случ.
DO вон чего выкатил: https://do.co/vesta-vuln
Пока не доказано обратное, в виновники записали Весту :(
DO вон чего выкатил: https://do.co/vesta-vuln
Пока не доказано обратное, в виновники записали Весту :(
Re: Возможная уязвимость в Vesta 0.9.8.19
У мені апач и nginx проблема есть.
-
- Posts: 2
- Joined: Sun Apr 08, 2018 7:03 pm
- Os: Ubuntu 15x
- Web: apache + nginx