Page 5 of 24
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 7:28 pm
by Djalin
Я сейчас прогоняю антивирусом, в кроне не сама зараза (тот самый gcc.sh), посмотрите что у вас есть нового в
/usr/lib/
/usr/bin/
/root/
/tmp/
/etc/rc*.d/
/etc/
Файлы там имею новые даты и/или права 777
запустите
Code: Select all
clamscan -i -r --max-dir-recursion 500 /
Советуют еще остановить панель, но у меня ничего не дало.
Впрочем как и ручная чистка
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 8:06 pm
by piroma
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 8:09 pm
by AKr0nizz
Да проблема не в этом. Главное чтобы дыру закрыли. Потому, что если дыру не закрыть - будешь чистить дыру бесконечено.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 8:26 pm
by Oliver2017
Приветствую всех,
Хочу поделится своими наблюдениями, не гоните пока на VESTA
У меня сервер под рукой можно так саказать, стоит за микротиком, все порты обрезаны.
Заметил что микротик стал отваливатся. Cмотрю сервер шлет или ему шлют китайщина
59.56.66.67:8811
61.133.6.142:50005
Хочу заметить это только на серверах NGINX + PHPFPM
Есть сервак NGINX+APACHE там чисто все, может не добрались пока.... но на всякий случай вырубил vsetu
открыты только
53(tcp udp)
80(tcp)
443(tcp)
587(tcp)
465(tcp)
143(tcp)
Доступен webmail на всех доменах
Возможно это roundcube, сейчас буду лазить, смотреть логи
прописалась такая херня,
/etc/init.d/naczduajmy
--------------------------------
#!/bin/sh
# chkconfig: 12345 90 90
#description: naczduajmy
# Provides: naczduajmy
# Default-Start: 1 2 3 4 5
# Default-Stop:
case $1 in
start)
/usr/bin/naczduajmy
;;
stop)
/usr/bin/naczduajmy
;;
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 8:30 pm
by AKr0nizz
Понятно, что веста сейчас один из топовых продуктов в этой ветке.
Просто действительно хочется разобраться в этой ситуации.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 8:33 pm
by Oliver2017
Расковырял бинарник, в нем ровно то что я написал выше.
Щас попробую скинуть код.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 8:38 pm
by imperio
Не понимаем пока как взломы связаны с vestacp, везде разная информация. Кто-то пишет что проблема в api vestacp, проверили, но маловероятно. Не можем возпроизвести. Кто-то что проблема с раундкубе и начинается всё с него, тут же находятся те, у кого раундкубе не установлен. В сети пишут что заражались даже без Весты, простым брутфорсом. Логи тоже ничего не показывают. Через час-два выйдет 0.9.8-20, в котором ужесточена проверка паролей.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 8:40 pm
by C00ller
5 серверов, centos 7, хосты разные, связки apache/nginx/php разные, на одном крутится roundcube. Ни один не заражен (тьфу*3р.). Панель вырубил, конечно, на всяк случ.
DO вон чего выкатил:
https://do.co/vesta-vuln
Пока не доказано обратное, в виновники записали Весту :(
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 8:42 pm
by Djalin
У мені апач и nginx проблема есть.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 8:43 pm
imperio wrote: ↑Sun Apr 08, 2018 8:38 pm
В сети пишут что заражались даже без Весты, простым брутфорсом.
Пароли сложные, не 128 бит конечно но 12 символов со спецсимволами