We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
взлом через Roundcube
взлом через Roundcube
Сегодня пришло письмо от хакера на английском языке, что он взломал сервер и требует 1500$ в биткоинах, чтобы не разглашать данные клиентов и не ронять репутацию компании. Говорит, что есть спарсенная база данных. Никаких доказательств не предоставил.
Как обычно я подумал, что это просто спам.
Однако полез в логи и увидел подозрительную активность до этого письма в "исследовании" Roundcube и поиске дыр с ним связанных.
Жалею, что не закрыл вообще Roundcube после установки VestaCP.
Вопросов несколько:
1. известны ли случаи взлома через Roundcube что дефолтом идёт к VestaCP?
2. если хакер таки взломал, то как определить, что он сделал и что удалось утащить? Подскажите, куда стоит копать. Судя по списку измененных файлов за отрезок времени когда были попытки взлома, файлы не были изменены или следы были заметены.
3. если в Roundcube не было писем (вся почта переадресовывается), то какую базу данных хакер может скачать, к каким данным получить доступ?
5. как вообще закрыть Roundcube? Какие приложения и директории помимо phpmyadmin вы бы посоветовали закрыть?
Как обычно я подумал, что это просто спам.
Однако полез в логи и увидел подозрительную активность до этого письма в "исследовании" Roundcube и поиске дыр с ним связанных.
Жалею, что не закрыл вообще Roundcube после установки VestaCP.
Вопросов несколько:
1. известны ли случаи взлома через Roundcube что дефолтом идёт к VestaCP?
2. если хакер таки взломал, то как определить, что он сделал и что удалось утащить? Подскажите, куда стоит копать. Судя по списку измененных файлов за отрезок времени когда были попытки взлома, файлы не были изменены или следы были заметены.
3. если в Roundcube не было писем (вся почта переадресовывается), то какую базу данных хакер может скачать, к каким данным получить доступ?
5. как вообще закрыть Roundcube? Какие приложения и директории помимо phpmyadmin вы бы посоветовали закрыть?
-
- Support team
- Posts: 1111
- Joined: Tue Jul 30, 2013 10:18 pm
- Contact:
- Os: CentOS 6x
- Web: nginx + php-fpm
Re: взлом через Roundcube
Лучший способ - удалить нафиг, а почту перенести на gmail или яндекс.
Если закрывать - то через basic auth. Помимо его и phpmyadmin рекомендую закрыть basic auth доступ к самой панели.
Re: взлом через Roundcube
В продолжение темы: зашел root'ом в mysql, нашел в таблице 'sessions' 3 сессии этого взломщика.
Т.е. доступ к базе 'roundcube' он таки получил.
В логах остались записи, как он туда мог попасть:
"GET /roundcubemail/installer/test.php HTTP/1.0" 200
"GET /roundcubemail/installer/config.php HTTP/1.0" 200
"GET /roundcubemail/installer/?_step=1 HTTP/1.0" 200
Вопрос: мог ли он оттуда получить доступ к другим БД?
Проверьте у себя на серверах, нет ли в БД левых сессий и нет ли папки installer, чтобы вас аналогично не взломали. Например у меня в centos она лежала в /usr/share/roundcubemail
Т.е. доступ к базе 'roundcube' он таки получил.
В логах остались записи, как он туда мог попасть:
"GET /roundcubemail/installer/test.php HTTP/1.0" 200
"GET /roundcubemail/installer/config.php HTTP/1.0" 200
"GET /roundcubemail/installer/?_step=1 HTTP/1.0" 200
Вопрос: мог ли он оттуда получить доступ к другим БД?
Проверьте у себя на серверах, нет ли в БД левых сессий и нет ли папки installer, чтобы вас аналогично не взломали. Например у меня в centos она лежала в /usr/share/roundcubemail