Page 1 of 8
Возможная уязвимость в Vesta 0.9.8-22
Posted: Tue Sep 25, 2018 10:18 am
by jewishinc
Здравствуйте, сегодня хостер заблокировал VDS из-за DDOS атаки на китайский IP: 144.0.2.180
Из подробностей сообщил:
Code: Select all
Вынуждены вас уведомить что Ваш VDS осуществляет ddos атаку на китайский ip адресс.
Два дня назад произошел массовый взлом контрольных панелей Vesta и Roundcube. Возможно они являются причиной взлома.
Посоветовал обратится к разработчиком, информации о массовом взломе на просторах интернет я не обнаружил.
Переустанавливать сервер и панель особо желания и времени нет, скажите есть ли возможность проверить данную информацию ?
Возможно можно выполнить какие то аналитические предприятия по VDS ?
Буду благодарен за любую информацию, спасибо.
Re: Возможная уязвимость в Vesta 0.9.8-22
Posted: Tue Sep 25, 2018 10:59 am
by achyorny
мои сервера тоже заблокировали
напишите, что и где искать, чтобы устранить, пжл
что вообще за порты и т.д.?
Re: Возможная уязвимость в Vesta 0.9.8-22
Posted: Tue Sep 25, 2018 12:12 pm
by httpd
Аналогичная история.
FirstVDS, 3 сервера заблокировано, и это не
https://blog.amet13.name/2015/05/linux.html
Re: Возможная уязвимость в Vesta 0.9.8-22
Posted: Tue Sep 25, 2018 1:15 pm
by pulemet
Re: Возможная уязвимость в Vesta 0.9.8-22
Posted: Tue Sep 25, 2018 2:37 pm
by zooks
Виртуальный сервер совершил попытку атаки вовне UDP-флудом
Подтверждаю, проблема присутствует.
Re: Возможная уязвимость в Vesta 0.9.8-22
Posted: Tue Sep 25, 2018 3:47 pm
by achyorny
/var/log/secure удален после этих атак
Re: Возможная уязвимость в Vesta 0.9.8-22
Posted: Tue Sep 25, 2018 4:52 pm
by gtr
Тоже самое, OVH, дефолтный порт был изменен.
Re: Возможная уязвимость в Vesta 0.9.8-22
Posted: Tue Sep 25, 2018 8:25 pm
by arty
5 VPS в OVH локнули, пришлось переустанавливать.
порт стандартный тоже поменял.
Re: Возможная уязвимость в Vesta 0.9.8-22
Posted: Wed Sep 26, 2018 11:22 am
by nitsik
Аналогично, исходящая атака с сервера на hetzner, но сервер не заблокировали, сказал, что удалил вирус)..
Dear Mr *
We have indications that there was an attack from your server.
Please take all necessary measures to avoid this in the future and to solve the issue.
We also request that you send a short response to us. This response should contain information about how this could have happened and what you intend to do about it.
In the event that the following steps are not completed successfully, your server can be blocked at any time after the 2018-09-25 12:23:12 +0200...
> Direction OUT
> Internal xx.xxx.xx.xx
> Threshold Packets 300.000 packets/s
> Sum 111.908.000 packets/300s (373.026 packets/s), 31.737 flows/300s (105 flows/s), 6,256 GByte/300s (170 MBit/s)
> External 144.0.2.180, 111.906.000 packets/300s (373.020 packets/s), 31.736 flows/300s (105 flows/s), 6,253 GByte/300s (170 MBit/s)
> External 66.249.66.192, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,003 GByte/300s (0 MBit/s)
Re: Возможная уязвимость в Vesta 0.9.8-22
Posted: Wed Sep 26, 2018 11:46 am
by arty
- START OF ADDITIONAL INFORMATION -
Attack detail : 104Kpps/47Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2018.09.25 18:38:42 CEST XX.XXX.XX.XX:49425 144.0.2.180:80 TCP SYN 60 ATTACK:TCP_SYN
2018.09.25 18:38:42 CEST XX.XXX.XX.XX:8473 144.0.2.180:80 TCP SYN 60 ATTACK:TCP_SYN
2018.09.25 18:38:42 CEST XX.XXX.XX.XX:58648 144.0.2.180:80 TCP SYN 60 ATTACK:TCP_SYN
2018.09.25 18:38:42 CEST XX.XXX.XX.XX:40338 144.0.2.180:80 TCP SYN 60 ATTACK:TCP_SYN