Page 7 of 24
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 9:40 pm
by mr.flash
Правило opencloseSSH открывает доступ к ssh на шесть часов.
10 минут с головой.
Но в этом случае не помогло бы.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 9:42 pm
by upxbot
StudioMaX wrote: ↑Sun Apr 08, 2018 9:23 pm
Если бы пароли сбрутили то была бы информация в логах auth.log об успешной авторизации
логи можно затереть имея руут
думаю как то все связанно с юзером админ
пароль который генерируется к нему подходит для руут от бд
записывается в многих файликах
у меня есть такое мнение что сломали сервера только тех клиентов у которых парол не менялся после установки
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 9:46 pm
by StudioMaX
upxbot wrote: ↑Sun Apr 08, 2018 9:42 pm
StudioMaX wrote: ↑Sun Apr 08, 2018 9:23 pm
Если бы пароли сбрутили то была бы информация в логах auth.log об успешной авторизации
логи можно затереть имея руут
думаю как то все связанно с юзером админ
пароль который генерируется к нему подходит для руут от бд
записывается в многих файликах
у меня есть такое мнение что сломали сервера только тех клиентов у которых парол не менялся после установки
Есть сомнения что бот настолько умный, что сначала удаляет строку об успешной авторизации из логов, после этого парсит дату последней успешной авторизации, и изменяет дату модификации файла лога на старую дату. В моём случае этот файл логов не менялся с конца марта.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 10:18 pm
by omega80
mr.flash wrote: ↑Sun Apr 08, 2018 9:40 pm
Правило opencloseSSH открывает доступ к ssh на шесть часов.
10 минут с головой.
Но в этом случае не помогло бы.
можно поинтересоваться почему?
Считал, что отсутствие доступа по 8083 и по SSH просто не позволил бы произвести какие-либо действия.
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 10:24 pm
by mr.flash
Вдруг поможет. На взломанном сервере у юзера admin ssh access установлен nologin. Но если дать команду su admin ... у вас есть доступ чего быть не должно. На не взломанном сервере admin выдает вот это This account is currently not available.
В панели установлен nologin а passwd admin:x:1002:1002:@gmail.com:/home/admin:/bin/sh
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 10:40 pm
by omega80
обновил до 20 версии все весты
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 10:43 pm
by imperio
Не забудьте убить все процессы вируса и удалить файлы вируса если система не переустанавливалась
https://superuser.com/questions/877896/ ... 24#1004724
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 10:50 pm
by mr.flash
Подскажите в чем была причина?
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 10:51 pm
by omega80
mr.flash wrote: ↑Sun Apr 08, 2018 10:50 pm
Подскажите в чем была причина?
в
английской ветке отписались, что вектор был направлен на метод небезопасной проверки пароля
Re: Возможная уязвимость в Vesta 0.9.8.19
Posted: Sun Apr 08, 2018 10:52 pm
by imperio
Похоже так и есть