Возможная уязвимость в Vesta 0.9.8.19
Re: Возможная уязвимость в Vesta 0.9.8.19
Эта информация от вас как минимум недостаточна.
Возможно и была указанная уязвимость. Вопрос в том, как злоумышленники заразили за несколько дней массу свежеустановленных серверов.
Мой случай я выше описал - сервер свежий, панель закрыта от мира правилами, в мир смотрит только веб-сервер и ссх на нестандартном порту.
Заражение как и у всех всплыло 4-го апреля.
При этом у меня большой парк машин, заражение было на единственной со свежей версией на тот момент.
Закрадываются подозрения, что у вас утечка как минимум информации об свежих установках. А как максимум был бекдор в вашем ПО или в ПО, которое шло в комплекте на тот период.
Возможно я преувеличиваю проблему, но у меня нет других объяснений, по какому совпадению из десятков моих серверов с вестой ломанули именно этот свежеустановленный.
Re: Возможная уязвимость в Vesta 0.9.8.19
Нам точно неизвестно, как инфекция попала на сервера. Это хотели от нас услышать?
Re: Возможная уязвимость в Vesta 0.9.8.19
Да.
Значит патч не является 100% панацеей.Мой хостер таки подключился к истерии так же.Ультматум сменить панель и начнет блокировать,резать или кромсать всё и вся.При отключении панели служба бекапа работать будет?Бекап будет выгружаться на внешний FTP-сервер?
Last edited by yariksat on Tue Apr 10, 2018 6:23 pm, edited 1 time in total.
Re: Возможная уязвимость в Vesta 0.9.8.19
При отключении веб-интерфейса все остается работать как и прежде. Управление можно производить через CLI
-
Sauuye5yan
- Posts: 3
- Joined: Tue Apr 10, 2018 8:04 pm
- Os: CentOS 6x
- Web: apache + nginx
Re: Возможная уязвимость в Vesta 0.9.8.19
Привет всем, я здесь новенький. Смотрите, как я классно умею нагонять панику:
У нас ночью ломанули сервер, на котором никогда не было весты. Centos 7.4 + webmin 1.1881.
Симптомы похожие: gcc прописан в кроне, вход с китайского ip, сменённый root-пасс.
С утра грешили на ilo со слабым паролем, который к тому же был не обновлён до последнего firmware и лежал мёртвенький (вебинтерфейс).
Так же был обнаружен /cpu/cp/
[root@mail cp]# ls -l
total 380
-rw-r--r-- 1 root root 6 Apr 10 14:49 ?
-rw-r--r-- 1 root root 6 Apr 10 14:49 bash.pid
-rw-r--r-- 1 root root 38 Apr 9 12:23 cron.d
-rwxrwxrwx 1 root root 351 Apr 3 23:41 crv
-rwxrwxrwx 1 root root 8 Apr 9 12:23 dir.dir
-rwxrwxrwx 1 root root 244 Mar 14 16:59 g
-rwxrwxrwx 1 root root 333440 Dec 29 09:58 gcc
-rwxrwxrwx 1 root root 339 Apr 3 23:46 run
-rwxrwxrwx 1 root root 25 Mar 14 19:38 start
-rwxrwxrwx 1 root root 14304 Nov 28 19:29 t
-rwxr--r-- 1 root root 192 Apr 9 12:23 upd
[root@mail cp]# cat g
{ "algo": "cryptonight",
"background": true,
"url": "118.184.39.205:3333",
"user": "2",
"pass": "x",
"keepalive": true,
"nicehash": true
}
[root@mail log]# cat yum.log
Mar 29 17:12:17 Updated: tzdata-2018d-1.el7.noarch
Apr 09 12:23:56 Installed: libXext-1.3.3-3.el7.x86_64
Apr 09 12:23:57 Installed: libXrender-0.9.10-1.el7.x86_64
Apr 09 12:23:57 Installed: libXfixes-5.0.3-1.el7.x86_64
Apr 09 12:23:57 Installed: mpfr-3.1.1-4.el7.x86_64
Apr 09 12:23:57 Installed: libmpc-1.0.1-3.el7.x86_64
Apr 09 12:23:57 Installed: libXdamage-1.1.4-4.1.el7.x86_64
Apr 09 12:23:57 Installed: libxshmfence-1.2-1.el7.x86_64
Apr 09 12:23:58 Installed: libstdc++-devel-4.8.5-16.el7_4.2.x86_64
Apr 09 12:23:58 Installed: mesa-libglapi-17.0.1-6.20170307.el7.x86_64
Apr 09 12:23:58 Installed: atk-2.22.0-3.el7.x86_64
Apr 09 12:23:58 Installed: mesa-libgbm-17.0.1-6.20170307.el7.x86_64
Apr 09 12:23:59 Installed: mesa-libEGL-17.0.1-6.20170307.el7.x86_64
Apr 09 12:24:00 Installed: cpp-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:02 Installed: gcc-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:02 Installed: libXcursor-1.1.14-8.el7.x86_64
Apr 09 12:24:03 Installed: libXft-2.3.2-2.el7.x86_64
Apr 09 12:24:03 Installed: libXrandr-1.5.1-2.el7.x86_64
Apr 09 12:24:03 Installed: libXinerama-1.1.3-2.1.el7.x86_64
Apr 09 12:24:03 Installed: libXxf86vm-1.1.4-1.el7.x86_64
Apr 09 12:24:03 Installed: mesa-libGL-17.0.1-6.20170307.el7.x86_64
Apr 09 12:24:03 Installed: libXi-1.7.9-1.el7.x86_64
Apr 09 12:24:03 Installed: pixman-0.34.0-1.el7.x86_64
Apr 09 12:24:03 Installed: cairo-1.14.8-2.el7.x86_64
Apr 09 12:24:03 Installed: libthai-0.1.14-9.el7.x86_64
Apr 09 12:24:04 Installed: perl-TermReadKey-2.30-20.el7.x86_64
Apr 09 12:24:04 Installed: jbigkit-libs-2.0-11.el7.x86_64
Apr 09 12:24:04 Installed: libtiff-4.0.3-27.el7_3.x86_64
Apr 09 12:24:04 Installed: libarchive-3.1.2-10.el7_2.x86_64
Apr 09 12:24:04 Installed: libXcomposite-0.4.4-4.1.el7.x86_64
Apr 09 12:24:04 Installed: jasper-libs-1.900.1-31.el7.x86_64
Apr 09 12:24:04 Installed: gdk-pixbuf2-2.36.5-1.el7.x86_64
Apr 09 12:24:04 Installed: gtk-update-icon-cache-3.22.10-5.el7_4.x86_64
Apr 09 12:24:04 Installed: graphite2-1.3.10-1.el7_3.x86_64
Apr 09 12:24:05 Installed: harfbuzz-1.3.2-1.el7.x86_64
Apr 09 12:24:05 Installed: pango-1.40.4-1.el7.x86_64
Apr 09 12:24:05 Installed: rsync-3.0.9-18.el7.x86_64
Apr 09 12:24:05 Installed: hicolor-icon-theme-0.12-7.el7.noarch
Apr 09 12:24:05 Installed: avahi-libs-0.6.31-17.el7.x86_64
Apr 09 12:24:06 Installed: 1:cups-libs-1.6.3-29.el7.x86_64
Apr 09 12:24:07 Installed: gtk2-2.24.31-1.el7.x86_64
Apr 09 12:24:07 Installed: libmicrohttpd-0.9.33-2.el7.x86_64
Apr 09 12:24:07 Installed: libgnome-keyring-3.12.0-1.el7.x86_64
Apr 09 12:24:07 Installed: perl-Git-1.8.3.1-12.el7_4.noarch
Apr 09 12:24:10 Installed: git-1.8.3.1-12.el7_4.x86_64
Apr 09 12:24:10 Installed: libmicrohttpd-devel-0.9.33-2.el7.x86_64
Apr 09 12:24:10 Installed: openssh-askpass-7.4p1-13.el7_4.x86_64
Apr 09 12:24:13 Installed: cmake-2.8.12.2-2.el7.x86_64
Apr 09 12:24:15 Installed: gcc-c++-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:15 Installed: libstdc++-static-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:15 Installed: openssh-ldap-7.4p1-13.el7_4.x86_64
Apr 09 12:24:15 Installed: openssh-cavs-7.4p1-13.el7_4.x86_64
Apr 09 12:24:15 Installed: openssh-keycat-7.4p1-13.el7_4.x86_64
Apr 09 12:24:16 Installed: openssh-server-sysvinit-7.4p1-13.el7_4.x86_64
Apr 10 10:01:11 Updated: usermin-1.741-1.noarch
Apr 10 14:52:05 Erased: gcc-c++-4.8.5-16.el7_4.2.x86_64
Apr 10 14:52:06 Erased: gcc-4.8.5-16.el7_4.2.x86_64
Apr 10 14:52:18 Installed: gcc-4.8.5-16.el7_4.2.x86_64
Apr 10 15:07:41 Installed: 1:compat-glibc-2.12-4.el7.centos.x86_64
Apr 10 15:07:41 Installed: 1:compat-glibc-headers-2.12-4.el7.centos.x86_64
Apr 10 15:07:42 Installed: glibc-static-2.17-196.el7_4.2.x86_64
У нас ночью ломанули сервер, на котором никогда не было весты. Centos 7.4 + webmin 1.1881.
Симптомы похожие: gcc прописан в кроне, вход с китайского ip, сменённый root-пасс.
С утра грешили на ilo со слабым паролем, который к тому же был не обновлён до последнего firmware и лежал мёртвенький (вебинтерфейс).
Так же был обнаружен /cpu/cp/
[root@mail cp]# ls -l
total 380
-rw-r--r-- 1 root root 6 Apr 10 14:49 ?
-rw-r--r-- 1 root root 6 Apr 10 14:49 bash.pid
-rw-r--r-- 1 root root 38 Apr 9 12:23 cron.d
-rwxrwxrwx 1 root root 351 Apr 3 23:41 crv
-rwxrwxrwx 1 root root 8 Apr 9 12:23 dir.dir
-rwxrwxrwx 1 root root 244 Mar 14 16:59 g
-rwxrwxrwx 1 root root 333440 Dec 29 09:58 gcc
-rwxrwxrwx 1 root root 339 Apr 3 23:46 run
-rwxrwxrwx 1 root root 25 Mar 14 19:38 start
-rwxrwxrwx 1 root root 14304 Nov 28 19:29 t
-rwxr--r-- 1 root root 192 Apr 9 12:23 upd
[root@mail cp]# cat g
{ "algo": "cryptonight",
"background": true,
"url": "118.184.39.205:3333",
"user": "2",
"pass": "x",
"keepalive": true,
"nicehash": true
}
[root@mail log]# cat yum.log
Mar 29 17:12:17 Updated: tzdata-2018d-1.el7.noarch
Apr 09 12:23:56 Installed: libXext-1.3.3-3.el7.x86_64
Apr 09 12:23:57 Installed: libXrender-0.9.10-1.el7.x86_64
Apr 09 12:23:57 Installed: libXfixes-5.0.3-1.el7.x86_64
Apr 09 12:23:57 Installed: mpfr-3.1.1-4.el7.x86_64
Apr 09 12:23:57 Installed: libmpc-1.0.1-3.el7.x86_64
Apr 09 12:23:57 Installed: libXdamage-1.1.4-4.1.el7.x86_64
Apr 09 12:23:57 Installed: libxshmfence-1.2-1.el7.x86_64
Apr 09 12:23:58 Installed: libstdc++-devel-4.8.5-16.el7_4.2.x86_64
Apr 09 12:23:58 Installed: mesa-libglapi-17.0.1-6.20170307.el7.x86_64
Apr 09 12:23:58 Installed: atk-2.22.0-3.el7.x86_64
Apr 09 12:23:58 Installed: mesa-libgbm-17.0.1-6.20170307.el7.x86_64
Apr 09 12:23:59 Installed: mesa-libEGL-17.0.1-6.20170307.el7.x86_64
Apr 09 12:24:00 Installed: cpp-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:02 Installed: gcc-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:02 Installed: libXcursor-1.1.14-8.el7.x86_64
Apr 09 12:24:03 Installed: libXft-2.3.2-2.el7.x86_64
Apr 09 12:24:03 Installed: libXrandr-1.5.1-2.el7.x86_64
Apr 09 12:24:03 Installed: libXinerama-1.1.3-2.1.el7.x86_64
Apr 09 12:24:03 Installed: libXxf86vm-1.1.4-1.el7.x86_64
Apr 09 12:24:03 Installed: mesa-libGL-17.0.1-6.20170307.el7.x86_64
Apr 09 12:24:03 Installed: libXi-1.7.9-1.el7.x86_64
Apr 09 12:24:03 Installed: pixman-0.34.0-1.el7.x86_64
Apr 09 12:24:03 Installed: cairo-1.14.8-2.el7.x86_64
Apr 09 12:24:03 Installed: libthai-0.1.14-9.el7.x86_64
Apr 09 12:24:04 Installed: perl-TermReadKey-2.30-20.el7.x86_64
Apr 09 12:24:04 Installed: jbigkit-libs-2.0-11.el7.x86_64
Apr 09 12:24:04 Installed: libtiff-4.0.3-27.el7_3.x86_64
Apr 09 12:24:04 Installed: libarchive-3.1.2-10.el7_2.x86_64
Apr 09 12:24:04 Installed: libXcomposite-0.4.4-4.1.el7.x86_64
Apr 09 12:24:04 Installed: jasper-libs-1.900.1-31.el7.x86_64
Apr 09 12:24:04 Installed: gdk-pixbuf2-2.36.5-1.el7.x86_64
Apr 09 12:24:04 Installed: gtk-update-icon-cache-3.22.10-5.el7_4.x86_64
Apr 09 12:24:04 Installed: graphite2-1.3.10-1.el7_3.x86_64
Apr 09 12:24:05 Installed: harfbuzz-1.3.2-1.el7.x86_64
Apr 09 12:24:05 Installed: pango-1.40.4-1.el7.x86_64
Apr 09 12:24:05 Installed: rsync-3.0.9-18.el7.x86_64
Apr 09 12:24:05 Installed: hicolor-icon-theme-0.12-7.el7.noarch
Apr 09 12:24:05 Installed: avahi-libs-0.6.31-17.el7.x86_64
Apr 09 12:24:06 Installed: 1:cups-libs-1.6.3-29.el7.x86_64
Apr 09 12:24:07 Installed: gtk2-2.24.31-1.el7.x86_64
Apr 09 12:24:07 Installed: libmicrohttpd-0.9.33-2.el7.x86_64
Apr 09 12:24:07 Installed: libgnome-keyring-3.12.0-1.el7.x86_64
Apr 09 12:24:07 Installed: perl-Git-1.8.3.1-12.el7_4.noarch
Apr 09 12:24:10 Installed: git-1.8.3.1-12.el7_4.x86_64
Apr 09 12:24:10 Installed: libmicrohttpd-devel-0.9.33-2.el7.x86_64
Apr 09 12:24:10 Installed: openssh-askpass-7.4p1-13.el7_4.x86_64
Apr 09 12:24:13 Installed: cmake-2.8.12.2-2.el7.x86_64
Apr 09 12:24:15 Installed: gcc-c++-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:15 Installed: libstdc++-static-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:15 Installed: openssh-ldap-7.4p1-13.el7_4.x86_64
Apr 09 12:24:15 Installed: openssh-cavs-7.4p1-13.el7_4.x86_64
Apr 09 12:24:15 Installed: openssh-keycat-7.4p1-13.el7_4.x86_64
Apr 09 12:24:16 Installed: openssh-server-sysvinit-7.4p1-13.el7_4.x86_64
Apr 10 10:01:11 Updated: usermin-1.741-1.noarch
Apr 10 14:52:05 Erased: gcc-c++-4.8.5-16.el7_4.2.x86_64
Apr 10 14:52:06 Erased: gcc-4.8.5-16.el7_4.2.x86_64
Apr 10 14:52:18 Installed: gcc-4.8.5-16.el7_4.2.x86_64
Apr 10 15:07:41 Installed: 1:compat-glibc-2.12-4.el7.centos.x86_64
Apr 10 15:07:41 Installed: 1:compat-glibc-headers-2.12-4.el7.centos.x86_64
Apr 10 15:07:42 Installed: glibc-static-2.17-196.el7_4.2.x86_64
Re: Возможная уязвимость в Vesta 0.9.8.19
вывод один, надо как можно больше защиты
порт весты вообще можно спрятать используя прокси нгинкса чтоб открывался по определеному урл
например домен p8.domain.ru добавляем в панели, редактируем нгинкс конфиг меняя строчку где идет переадресация на порт 8080 на порт весты, а в фаерволе разрешаем вход в весту только с локалхост
Извините за вопрос немножко не по теме, но возможно ли сделать в весте фаервол не только входящих портов но и исходяших?
например если такий был бы то бот не смог бы спамить и брутить другие сервера и ддосить
порт весты вообще можно спрятать используя прокси нгинкса чтоб открывался по определеному урл
например домен p8.domain.ru добавляем в панели, редактируем нгинкс конфиг меняя строчку где идет переадресация на порт 8080 на порт весты, а в фаерволе разрешаем вход в весту только с локалхост
Извините за вопрос немножко не по теме, но возможно ли сделать в весте фаервол не только входящих портов но и исходяших?
например если такий был бы то бот не смог бы спамить и брутить другие сервера и ддосить
Re: Возможная уязвимость в Vesta 0.9.8.19
у меня например те сервера на которых веста стояла на измененом порту не хакнули, как чувствовал что лучше скрыть от глаз долой.
еще нюанс что ломанули только сервера на изместных хостингах типа вультр линоде и джидиталошиан
наверно только по ихним айпишкам запускали сканирование
еще нюанс что ломанули только сервера на изместных хостингах типа вультр линоде и джидиталошиан
наверно только по ихним айпишкам запускали сканирование
Re: Возможная уязвимость в Vesta 0.9.8.19
еще раз пишу - из 10 машин с вестами, лишь на одной был изменен порт, ставил ее новую, на чистый серв, сразу порт поменял. Смена порта весты от проблемы не защитило! У людей из английской ветки вход только по белому ip был, и все равно ломанули. Сколько страниц еще можно мусолить одно и тоже? Хоть почитайте последних страниц 5-6, все таки серьезное происшествие для того, чтобы не ознакомиться!upxbot wrote: ↑Tue Apr 10, 2018 8:47 pmу меня например те сервера на которых веста стояла на измененом порту не хакнули, как чувствовал что лучше скрыть от глаз долой.
еще нюанс что ломанули только сервера на изместных хостингах типа вультр линоде и джидиталошиан
наверно только по ихним айпишкам запускали сканирование
Re: Возможная уязвимость в Vesta 0.9.8.19
Да. Потому что допускаем, что инфекция могла прийти не от вас.
Я писал выше, порт весты в принципе был заблочен файрволом. Не помогло.upxbot wrote: ↑Tue Apr 10, 2018 8:47 pmу меня например те сервера на которых веста стояла на измененом порту не хакнули, как чувствовал что лучше скрыть от глаз долой.
еще нюанс что ломанули только сервера на изместных хостингах типа вультр линоде и джидиталошиан
наверно только по ихним айпишкам запускали сканирование