Возможная уязвимость в Vesta 0.9.8.19

one · Post by **one** » Sun Apr 08, 2018 10:34 am

Ах вот оно что... Буквально месяц назад взял VDS, потихоньку настраивался и в процессе обнаружил что залили эту какашку, на мэил стали уведомления сыпаться что не выполнилос корректно крон задание. Понятно. Ждем новостей!

abst · Post by **abst** » Sun Apr 08, 2018 10:36 am

imperio wrote: ↑
Sun Apr 08, 2018 10:21 am
Как проявился взлом?

Загрузка процессора 100%, процесс update. Появился файл /etc/cron.hourly/gcc.sh

AKr0nizz · Post by **AKr0nizz** » Sun Apr 08, 2018 10:37 am

imperio wrote: ↑
Sun Apr 08, 2018 10:21 am
Как проявился взлом?

Блокировка VPS сервера целиком и invoice от хостера, мол ты такой мудак и спам рассылаешь. Им якобы жалоба пришла от кого-то.

Внешних признаков вообще нет. Разве что чуть чуть трафик вырос.

Кстати да, было сообщение от крона, что что-то там произошло.
Вот письмо:

Тема:
Cron <admin@13e5> sudo /usr/local/vesta/bin/v-update-sys-queue letsencrypt

От
Cron Daemon <[email protected]>

Сообщение
sudo: unable to resolve host 13e5.k.hostens.cloud

yariksat · Post by **yariksat** » Sun Apr 08, 2018 10:40 am

В соседней теме нашел айпишник китайский.Пошел поиском по логам искать и нашел его в бане от 4 апреля.Судя по всему его туда мой CSF определил.За что пока не разбирал толком.

one · Post by **one** » Sun Apr 08, 2018 11:57 am

abst wrote: ↑
Sun Apr 08, 2018 10:18 am
Взломали один сервер на Centos 7, на нем стояла только Vesta, сайты залить еще не успел. По сути только установка весты из коробки и смена порта ssh на кастомный.

Та же история и у меня была.

teranq · Post by **teranq** » Sun Apr 08, 2018 1:34 pm

АНАЛОГИЧНО. ВЗЛОМ ЧЕРЕЗ ПАНЕЛЬ. С СЕРВЕРА ИДЕТ DDOS

Post by **imperio** » Sun Apr 08, 2018 1:42 pm

teranq wrote: ↑
Sun Apr 08, 2018 1:34 pm
АНАЛОГИЧНО. ВЗЛОМ ЧЕРЕЗ ПАНЕЛЬ. С СЕРВЕРА ИДЕТ DDOS

Приведите пожалуйста факты что взлом именно через панель и её ядро. Это нам поможет быстрее разобраться в ситуации.

owll · Post by **owll** » Sun Apr 08, 2018 1:42 pm

2 вдс 1 апреля и сегодня, хостер сказал "По сегодняшней проблеме мы выявили общую закономерность - у всех клиентов, с которых сегодня шел DDoS, была установлена панель управления Vesta." Не помню какая версия была, переустановил уже ос.

teranq · Post by **teranq** » Sun Apr 08, 2018 1:46 pm

imperio wrote: ↑
Sun Apr 08, 2018 1:42 pm

teranq wrote: ↑
Sun Apr 08, 2018 1:34 pm
АНАЛОГИЧНО. ВЗЛОМ ЧЕРЕЗ ПАНЕЛЬ. С СЕРВЕРА ИДЕТ DDOS
Приведите пожалуйста факты что взлом именно через панель и её ядро. Это нам поможет быстрее разобраться в ситуации.

Посмотрите иностранную ветку там по моему со вчерашнего дня данную проблему решают.

ruport · Post by **ruport** » Sun Apr 08, 2018 1:54 pm

Также взломали VDS Ubuntu 16.04 + vestacp.
Хостинг говорит:
"На Вашем сервере xxxxxx обнаружена работа вредоносных скриптов, осуществляющих исходящие запросы вредоносного характера.
Нами была зафиксирована исходящая активность, ddos-сторонних приложений. Вероятно, активность является результатом взлома vestacp".

Разблокировали сервер и дали 24 часа на решение проблемы. Что делать непонятно.

Vesta Control Panel - Forum

Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Login • Register