Vesta Control Panel - Forum

Oliver2017 wrote: ↑

Sun Apr 08, 2018 8:33 pm

Расковырял бинарник, в нем ровно то что я написал выше.
Щас попробую скинуть код.

Пробежал глазами сегодня багтраки и пару хак форумов, единственное что похоже на правду https://devco.re/blog/2018/03/06/exim-o ... 8-6789-en/

1 Bypassing бага, я не силен в написании сплоитов, поэтому конкретно утверждать не берусь
2 на чистую вдс веста тянет

# exim -bV
Exim version 4.89 #1 built 10-Feb-2018 08:26:05

Посмотри может ты поймешь что к чему.

та же беда, 2 сервера на centos 6, 1 на centos 7

Брут... У меня такое банилось... Не должно. Пароли генерировал

uadesign wrote: ↑

Sun Apr 08, 2018 8:45 pm

та же беда, 2 сервера на centos 6, 1 на centos 7

exim -bV какой?

Англоязычные товарищи пишут, что DO отключает сеть дроплетам под управлением Vesta. Мои два, кажется, не заражены, но будет просто прекрасно если их отключат и придётся всё переносить. Слов нет. Приходили кому уже такие письма счастья?

по поводу DIgitalOcean он банит порт 8083
в данный момент забанены сервера Нью-йорк3
потому порт в весте поменяйте и ждите залатку от разработчиков весты

Подтверждаю есть взлом. Из 30+ клиентов проблема у двоих. Общее: Centos7, 2 версии php 56 и 71, Свежая установка. ngixn + php-fpm.
Cloudflare как dns. Разные провайдеры но centos развернута с template. Поскольку клиент просил сделать переключатель между версиями php , я развернул на своем сервер vds установил туда сentos с образа. Моя вдс на сейчас остается чистой, возможно потому что я пробрасываю X порт с хоста на 8083 на guest. Сервера заражены BillGates botnet.

imperio wrote: ↑

Sun Apr 08, 2018 8:38 pm

Не понимаем пока как взломы связаны с vestacp, везде разная информация. Кто-то пишет что проблема в api vestacp, проверили, но маловероятно. Не можем возпроизвести. Кто-то что проблема с раундкубе и начинается всё с него, тут же находятся те, у кого раундкубе не установлен. В сети пишут что заражались даже без Весты, простым брутфорсом. Логи тоже ничего не показывают. Через час-два выйдет 0.9.8-20, в котором ужесточена проверка паролей.

Хорошо было бы пароли которые генерируются к юзеру админ увеличить и аналогично для обычных юзеров
что 10 символом что 20 все одинаково все равно все копируют его себе в заметки
а от брута поможет нормально,
когда сервер сламали начинают с помощью сломанного сервера дальше другие брутить
и в большинстве случаев ето делает тупой бот
потому было бы хорошо добавить в весту фаервол для исходящих подключений а не только для входящих,

Если бы пароли сбрутили то была бы информация в логах auth.log об успешной авторизации

Машин 10, заражена 1, был нестандартный порт, на пользователей 20знаки, почту не использовал (на яндекс привязана). Уже вычистил.
Offtop: неделю назад хотел сделать доступность панели по стучалке по портам (используя knock-server):
Правило opencloseSSH открывает доступ к ssh на шесть часов.
Правило opencloseVestaPanel открывает доступ к панели управления Vesta на пол часа.

Но так руки и не дошли ((

Полная статья: тут