Vesta Control Panel - Forum

Сегодня пришло письмо от хакера на английском языке, что он взломал сервер и требует 1500$ в биткоинах, чтобы не разглашать данные клиентов и не ронять репутацию компании. Говорит, что есть спарсенная база данных. Никаких доказательств не предоставил.

Как обычно я подумал, что это просто спам.
Однако полез в логи и увидел подозрительную активность до этого письма в "исследовании" Roundcube и поиске дыр с ним связанных.

Жалею, что не закрыл вообще Roundcube после установки VestaCP.

Вопросов несколько:
1. известны ли случаи взлома через Roundcube что дефолтом идёт к VestaCP?
2. если хакер таки взломал, то как определить, что он сделал и что удалось утащить? Подскажите, куда стоит копать. Судя по списку измененных файлов за отрезок времени когда были попытки взлома, файлы не были изменены или следы были заметены.
3. если в Roundcube не было писем (вся почта переадресовывается), то какую базу данных хакер может скачать, к каким данным получить доступ?
5. как вообще закрыть Roundcube? Какие приложения и директории помимо phpmyadmin вы бы посоветовали закрыть?

avtor wrote: ↑

Sat Apr 18, 2020 6:47 pm

5. как вообще закрыть Roundcube? Какие приложения и директории помимо phpmyadmin вы бы посоветовали закрыть?

Лучший способ - удалить нафиг, а почту перенести на gmail или яндекс.

Если закрывать - то через basic auth. Помимо его и phpmyadmin рекомендую закрыть basic auth доступ к самой панели.

В продолжение темы: зашел root'ом в mysql, нашел в таблице 'sessions' 3 сессии этого взломщика.
Т.е. доступ к базе 'roundcube' он таки получил.

В логах остались записи, как он туда мог попасть:
"GET /roundcubemail/installer/test.php HTTP/1.0" 200
"GET /roundcubemail/installer/config.php HTTP/1.0" 200
"GET /roundcubemail/installer/?_step=1 HTTP/1.0" 200

Вопрос: мог ли он оттуда получить доступ к другим БД?

Проверьте у себя на серверах, нет ли в БД левых сессий и нет ли папки installer, чтобы вас аналогично не взломали. Например у меня в centos она лежала в /usr/share/roundcubemail