Возможная уязвимость в Vesta 0.9.8-22 Topic is solved

[jewishinc]

Здравствуйте, сегодня хостер заблокировал VDS из-за DDOS атаки на китайский IP: 144.0.2.180
Из подробностей сообщил:

Code: Select all

Вынуждены вас уведомить что Ваш VDS осуществляет ddos атаку на китайский ip адресс.
Два дня назад произошел массовый взлом контрольных панелей Vesta и Roundcube. Возможно они являются причиной взлома.

Посоветовал обратится к разработчиком, информации о массовом взломе на просторах интернет я не обнаружил.
Переустанавливать сервер и панель особо желания и времени нет, скажите есть ли возможность проверить данную информацию ?
Возможно можно выполнить какие то аналитические предприятия по VDS ?
Буду благодарен за любую информацию, спасибо.

[achyorny]

мои сервера тоже заблокировали
напишите, что и где искать, чтобы устранить, пжл
что вообще за порты и т.д.?

[httpd]

Аналогичная история.
FirstVDS, 3 сервера заблокировано, и это не https://blog.amet13.name/2015/05/linux.html

[pulemet]

Тоже сегодня локнули три сервера с Вестой на борту. online.net и OVH
https://twitter.com/Vova_Kuchkovski/sta ... 9978652673

И ещё инфа тут:
https://twitter.com/obzorly/status/1044444946760126464

[zooks]

Виртуальный сервер совершил попытку атаки вовне UDP-флудом

Подтверждаю, проблема присутствует.

[achyorny]

/var/log/secure удален после этих атак

[gtr]

Тоже самое, OVH, дефолтный порт был изменен.

[arty]

5 VPS в OVH локнули, пришлось переустанавливать.
порт стандартный тоже поменял.

[nitsik]

Аналогично, исходящая атака с сервера на hetzner, но сервер не заблокировали, сказал, что удалил вирус)..

Dear Mr *

We have indications that there was an attack from your server.
Please take all necessary measures to avoid this in the future and to solve the issue.

We also request that you send a short response to us. This response should contain information about how this could have happened and what you intend to do about it.
In the event that the following steps are not completed successfully, your server can be blocked at any time after the 2018-09-25 12:23:12 +0200...

> Direction OUT
> Internal xx.xxx.xx.xx
> Threshold Packets 300.000 packets/s
> Sum 111.908.000 packets/300s (373.026 packets/s), 31.737 flows/300s (105 flows/s), 6,256 GByte/300s (170 MBit/s)
> External 144.0.2.180, 111.906.000 packets/300s (373.020 packets/s), 31.736 flows/300s (105 flows/s), 6,253 GByte/300s (170 MBit/s)
> External 66.249.66.192, 2.000 packets/300s (6 packets/s), 1 flows/300s (0 flows/s), 0,003 GByte/300s (0 MBit/s)

[arty]

- START OF ADDITIONAL INFORMATION -

Attack detail : 104Kpps/47Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2018.09.25 18:38:42 CEST XX.XXX.XX.XX:49425 144.0.2.180:80 TCP SYN 60 ATTACK:TCP_SYN
2018.09.25 18:38:42 CEST XX.XXX.XX.XX:8473 144.0.2.180:80 TCP SYN 60 ATTACK:TCP_SYN
2018.09.25 18:38:42 CEST XX.XXX.XX.XX:58648 144.0.2.180:80 TCP SYN 60 ATTACK:TCP_SYN
2018.09.25 18:38:42 CEST XX.XXX.XX.XX:40338 144.0.2.180:80 TCP SYN 60 ATTACK:TCP_SYN