Возможная уязвимость в Vesta 0.9.8.19

[StudioMaX]

Всем привет. Сегодня столкнулся со странной ситуацией - хостер заблокировал мою VPS из-за ддоса на другие ресурсы. Сначала я не понял в чём суть и запросил подробности и вот их ответ (хостер FastVPS):

К большому сожалению, сообщаем, что, сервер был взломан и с него была исходящая сетевая атака на другие серверы. Так же злоумышленниками получен доступ к аккаунту суперпользователя root.

В виду того, что избавиться от последствий такого взлома практически невозможно, единственный вариант который мы можем Вам предложить это полная переустановка сервера с удалением всех данных на нём (безусловно предварительно можно сделать бекап важных данных, который будет подключен к серверу или выдан Вам после переустановки).

>> На данный момент, без доступа к серверу, я вообще не представляю источник и причину заражения. Были установлены ClamAV, работали iptables и fail2ban для авторизаций по ssh, а паролем для root-пользователя я вообще пользовался один раз, и сразу после переустановки включил доступ по ssh-ключу (с минимально возможными разрешениями на файл). И практически каждую неделю я обновлял пакеты из репозиториев, поэтому устаревшие уязвимые версии ПО тоже исключаю.

К сожалению, мы не являемся специалистами по сетевой безопасности и нам сложно отслеживать конкретные причины. Одновременно с этим, однако судя по всему взлом был как-то связан с vesta и roundcube. Т.к. одновременно с Вашим возникли проблемы ещё на нескольких серверах наших клиентов в аналогичными симптомами. На этих серверах так же стояла Vesta и вредоносные процессы имели текущей рабочей директорией директорию roundcube, при этом дистрибутивы linux отличались.

Не буду утверждать что в последней версии весты действительно есть уязвимость, но хостер намекает об этом.
Сразу скажу, что сервер был переустановлен с нуля примерно 3 недели назад на CentOS 7.4, соответственно с последней версией весты и со всеми обновлениями.

Сейчас пытаюсь разобраться с хостером чтобы получить логи сервера и понять, действительно ли это как-то связано.

[usr999]

Тоже самое! сервак взломан и кто то досит с него

[imperio]

https://blog.amet13.name/2015/05/linux.html
https://clite.ru/articles/linux/centos/ ... ux-server/

[StudioMaX]

Борьба со следствием уже не так важна, как важно узнать причину заражения. И это никак не слабый пароль.

Давайте перейдём в смежную тему, там больше людей с этой проблемой.

[yariksat]

Сменить порт весты на произвольный и закрыть доступ к порту только для своего IP.Таких мер временно будет достаточно или лучше остановить панель?

[imperio]

Остановите пока веб-интерфейс. Сейчас разбираемся что происходит. Пока не можем уловить связь между панелью и взломами

[AKr0nizz]

Подтверждаю, у меня тоже VPS был взломан. Причина суспенда сервера со стороны хостера: рассылка спама.

Версия весты:
0.9.8 - 19

[rutrum]

Есть два сервер под управлением Vesta, один сервер взломали (Ubuntu 14.04.5/Vesta 0.9.8-19). Разница между ними в том, что не взломанный (Ubuntu 16.04.3/Vesta 0.9.8-19) сервер был полностью за Сloudflare (не отсвечивал в мир своим реальным ip). При этом у обоих серверов панель была доступна по адресу https://maindomain.com:8083/.

[abst]

Взломали один сервер на Centos 7, на нем стояла только Vesta, сайты залить еще не успел. По сути только установка весты из коробки и смена порта ssh на кастомный.

Установка была с параметрами: bash vst-install.sh --nginx yes --apache yes --phpfpm no --named no --remi yes --vsftpd yes --proftpd no --iptables yes --fail2ban no --quota no --exim yes --dovecot no --spamassassin no --clamav no --softaculous no --mysql yes --postgresql no

[imperio]

Как проявился взлом?