Page 3 of 24
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 1:56 pm
by teranq
аналогично что делать незнаю. Даже бэкапы сделать не могу...
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 2:04 pm
by yazakha
Аналогичная ситуация. Сервер фреш инсталл вчерашний, os debian 8, сегодня пошел ддос, беглый осмотр показал что стоит xor.ddos троян.
iptables на input было открыто 80,443,8083
т.к. сервер свежий - запариваться не стал, переустановил и закрыл порт 8083.
осмотрел остальные железки - на 4х других серверах проблемы нет
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 2:06 pm
by imperio
Попробуйте остановить веб-интерфейс панели, отключить root доступ
Мы разбираемся, но пока не можем понять как связаны взломы с панелью.
XOR-DDOS BOTNET по информации использует брутфорс паролей, не использует узязвимости ОС, на момент 2015 года.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 2:09 pm
by imperio
Аналогичная ситуация. Сервер фреш инсталл вчерашний, os debian 8, сегодня пошел ддос, беглый осмотр показал что стоит xor.ddos троян.
осмотрел остальные железки - на 4х других серверах проблемы нет
Есть ли какие-то особенности между серверами?
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 2:11 pm
by teranq
imperio wrote: ↑Sun Apr 08, 2018 2:06 pm
Попробуйте остановить веб-интерфейс панели, отключить root доступ
Мы разбираемся, но пока не можем понять как связаны взломы с панелью.
XOR-DDOS BOTNET по информации использует брутфорс паролей, не использует узязвимости ОС, на момент 2015 года.
я воще ничего не могу сделать, зависает из за вируса этого.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 2:14 pm
by yazakha
>> Мы разбираемся, но пока не можем понять как связаны взломы с панелью.
>> XOR-DDOS BOTNET по информации использует брутфорс паролей, не использует узязвимости ОС, на момент >>2015 года.
Это понятно, но пароль сбрутфорсить невозможно за 12 часов он же естесственно не простой. Так что смотрите. Пока у себя на всех серверах закрыл вообще доступ на 8083.
Повторюсь - конкретно у меня в мир смотрели только 80,443 и 8083 все остальное закрыто.Проблему с дыркой в сайте исключаем т.к. сервер пустой.
Я бы вам с удовольствием дал на растерзание сломаный сервер, но это вдс и хостер его постоянно блочит )
Вобщем будем смотреть, если с закрытой вестой взлом повторится - отпишусь.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 2:16 pm
by yazakha
teranq wrote: ↑Sun Apr 08, 2018 2:11 pm
я воще ничего не могу сделать, зависает из за вируса этого.
убейте его, он создает файлы в /etc/init.d /etc/cron.daily и /usr/sbin (помоему, но луче посмотреть что запускает скрипт в /etc/init.d)
и только сейчас увидел - на первой странице обсуждения есть даже мануал
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 2:22 pm
by abst
imperio wrote: ↑Sun Apr 08, 2018 2:09 pm
Аналогичная ситуация. Сервер фреш инсталл вчерашний, os debian 8, сегодня пошел ддос, беглый осмотр показал что стоит xor.ddos троян.
осмотрел остальные железки - на 4х других серверах проблемы нет
Есть ли какие-то особенности между серверами?
У себя взаимосвязи вообще не вижу. Установка везде была с одинаковым набором параметров в разное время. Из 9 серверов (7 мои 2 обслуживаю) взломали только один со свежей установкой панели, но при этом были еще два с аналогичной установкой в тот же день, их не взломали. В англоязычной теме грешат на roundcube, у меня он на всех серверах стоит и доступен по стандартному пути, сейчас удаляю его, так как не пользуюсь.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 2:22 pm
by ruport
imperio wrote: ↑Sun Apr 08, 2018 2:06 pm
Попробуйте остановить веб-интерфейс панели, отключить root доступ
как это сделать? объясните для новичков, пожалуйста. с linux-ами я на Вы.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 2:33 pm
by imperio
Думаю нашли уязвимость. Фикс будет сегодня