Page 2 of 24

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 10:34 am
by one
Ах вот оно что... Буквально месяц назад взял VDS, потихоньку настраивался и в процессе обнаружил что залили эту какашку, на мэил стали уведомления сыпаться что не выполнилос корректно крон задание. Понятно. Ждем новостей!

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 10:36 am
by abst
imperio wrote:
Sun Apr 08, 2018 10:21 am
Как проявился взлом?
Загрузка процессора 100%, процесс update. Появился файл /etc/cron.hourly/gcc.sh

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 10:37 am
by AKr0nizz
imperio wrote:
Sun Apr 08, 2018 10:21 am
Как проявился взлом?
Блокировка VPS сервера целиком и invoice от хостера, мол ты такой мудак и спам рассылаешь. Им якобы жалоба пришла от кого-то.

Внешних признаков вообще нет. Разве что чуть чуть трафик вырос.

Кстати да, было сообщение от крона, что что-то там произошло.
Вот письмо:

Тема:
Cron <admin@13e5> sudo /usr/local/vesta/bin/v-update-sys-queue letsencrypt

От
Cron Daemon <root@13e5.k.hostens.cloud>

Сообщение
sudo: unable to resolve host 13e5.k.hostens.cloud

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 10:40 am
by yariksat
В соседней теме нашел айпишник китайский.Пошел поиском по логам искать и нашел его в бане от 4 апреля.Судя по всему его туда мой CSF определил.За что пока не разбирал толком.

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 11:57 am
by one
abst wrote:
Sun Apr 08, 2018 10:18 am
Взломали один сервер на Centos 7, на нем стояла только Vesta, сайты залить еще не успел. По сути только установка весты из коробки и смена порта ssh на кастомный.
Та же история и у меня была.

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 1:34 pm
by teranq
АНАЛОГИЧНО. ВЗЛОМ ЧЕРЕЗ ПАНЕЛЬ. С СЕРВЕРА ИДЕТ DDOS

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 1:42 pm
by imperio
teranq wrote:
Sun Apr 08, 2018 1:34 pm
АНАЛОГИЧНО. ВЗЛОМ ЧЕРЕЗ ПАНЕЛЬ. С СЕРВЕРА ИДЕТ DDOS
Приведите пожалуйста факты что взлом именно через панель и её ядро. Это нам поможет быстрее разобраться в ситуации.

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 1:42 pm
by owll
2 вдс 1 апреля и сегодня, хостер сказал "По сегодняшней проблеме мы выявили общую закономерность - у всех клиентов, с которых сегодня шел DDoS, была установлена панель управления Vesta." Не помню какая версия была, переустановил уже ос.

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 1:46 pm
by teranq
imperio wrote:
Sun Apr 08, 2018 1:42 pm
teranq wrote:
Sun Apr 08, 2018 1:34 pm
АНАЛОГИЧНО. ВЗЛОМ ЧЕРЕЗ ПАНЕЛЬ. С СЕРВЕРА ИДЕТ DDOS
Приведите пожалуйста факты что взлом именно через панель и её ядро. Это нам поможет быстрее разобраться в ситуации.
Посмотрите иностранную ветку там по моему со вчерашнего дня данную проблему решают.

Re: Возможная уязвимость в Vesta 0.9.8.19

Posted: Sun Apr 08, 2018 1:54 pm
by ruport
Также взломали VDS Ubuntu 16.04 + vestacp.
Хостинг говорит:
"На Вашем сервере xxxxxx обнаружена работа вредоносных скриптов, осуществляющих исходящие запросы вредоносного характера.
Нами была зафиксирована исходящая активность, ddos-сторонних приложений. Вероятно, активность является результатом взлома vestacp".

Разблокировали сервер и дали 24 часа на решение проблемы. Что делать непонятно.