Возможная уязвимость в Vesta 0.9.8.19

mr.flash · Post by **mr.flash** » Sun Apr 08, 2018 9:40 pm

Правило opencloseSSH открывает доступ к ssh на шесть часов.

10 минут с головой.
Но в этом случае не помогло бы.

upxbot · Post by **upxbot** » Sun Apr 08, 2018 9:42 pm

StudioMaX wrote: ↑
Sun Apr 08, 2018 9:23 pm
Если бы пароли сбрутили то была бы информация в логах auth.log об успешной авторизации

логи можно затереть имея руут
думаю как то все связанно с юзером админ
пароль который генерируется к нему подходит для руут от бд
записывается в многих файликах
у меня есть такое мнение что сломали сервера только тех клиентов у которых парол не менялся после установки

StudioMaX · Post by **StudioMaX** » Sun Apr 08, 2018 9:46 pm

upxbot wrote: ↑
Sun Apr 08, 2018 9:42 pm

StudioMaX wrote: ↑
Sun Apr 08, 2018 9:23 pm
Если бы пароли сбрутили то была бы информация в логах auth.log об успешной авторизации
логи можно затереть имея руут
думаю как то все связанно с юзером админ
пароль который генерируется к нему подходит для руут от бд
записывается в многих файликах
у меня есть такое мнение что сломали сервера только тех клиентов у которых парол не менялся после установки

Есть сомнения что бот настолько умный, что сначала удаляет строку об успешной авторизации из логов, после этого парсит дату последней успешной авторизации, и изменяет дату модификации файла лога на старую дату. В моём случае этот файл логов не менялся с конца марта.

omega80 · Post by **omega80** » Sun Apr 08, 2018 10:18 pm

mr.flash wrote: ↑
Sun Apr 08, 2018 9:40 pm

Правило opencloseSSH открывает доступ к ssh на шесть часов.
10 минут с головой.
Но в этом случае не помогло бы.

можно поинтересоваться почему?
Считал, что отсутствие доступа по 8083 и по SSH просто не позволил бы произвести какие-либо действия.

mr.flash · Post by **mr.flash** » Sun Apr 08, 2018 10:24 pm

Вдруг поможет. На взломанном сервере у юзера admin ssh access установлен nologin. Но если дать команду su admin ... у вас есть доступ чего быть не должно. На не взломанном сервере admin выдает вот это This account is currently not available.
В панели установлен nologin а passwd admin:x:1002:1002:@gmail.com:/home/admin:/bin/sh

omega80 · Post by **omega80** » Sun Apr 08, 2018 10:40 pm

обновил до 20 версии все весты

Post by **imperio** » Sun Apr 08, 2018 10:43 pm

Не забудьте убить все процессы вируса и удалить файлы вируса если система не переустанавливалась
https://superuser.com/questions/877896/ ... 24#1004724

mr.flash · Post by **mr.flash** » Sun Apr 08, 2018 10:50 pm

Подскажите в чем была причина?

omega80 · Post by **omega80** » Sun Apr 08, 2018 10:51 pm

mr.flash wrote: ↑
Sun Apr 08, 2018 10:50 pm
Подскажите в чем была причина?

в английской ветке отписались, что вектор был направлен на метод небезопасной проверки пароля

Post by **imperio** » Sun Apr 08, 2018 10:52 pm

Похоже так и есть

Vesta Control Panel - Forum

Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Re: Возможная уязвимость в Vesta 0.9.8.19

Login • Register