взлом через Roundcube
взлом через Roundcube
Сегодня пришло письмо от хакера на английском языке, что он взломал сервер и требует 1500$ в биткоинах, чтобы не разглашать данные клиентов и не ронять репутацию компании. Говорит, что есть спарсенная база данных. Никаких доказательств не предоставил.
Как обычно я подумал, что это просто спам.
Однако полез в логи и увидел подозрительную активность до этого письма в "исследовании" Roundcube и поиске дыр с ним связанных.
Жалею, что не закрыл вообще Roundcube после установки VestaCP.
Вопросов несколько:
1. известны ли случаи взлома через Roundcube что дефолтом идёт к VestaCP?
2. если хакер таки взломал, то как определить, что он сделал и что удалось утащить? Подскажите, куда стоит копать. Судя по списку измененных файлов за отрезок времени когда были попытки взлома, файлы не были изменены или следы были заметены.
3. если в Roundcube не было писем (вся почта переадресовывается), то какую базу данных хакер может скачать, к каким данным получить доступ?
5. как вообще закрыть Roundcube? Какие приложения и директории помимо phpmyadmin вы бы посоветовали закрыть?
Как обычно я подумал, что это просто спам.
Однако полез в логи и увидел подозрительную активность до этого письма в "исследовании" Roundcube и поиске дыр с ним связанных.
Жалею, что не закрыл вообще Roundcube после установки VestaCP.
Вопросов несколько:
1. известны ли случаи взлома через Roundcube что дефолтом идёт к VestaCP?
2. если хакер таки взломал, то как определить, что он сделал и что удалось утащить? Подскажите, куда стоит копать. Судя по списку измененных файлов за отрезок времени когда были попытки взлома, файлы не были изменены или следы были заметены.
3. если в Roundcube не было писем (вся почта переадресовывается), то какую базу данных хакер может скачать, к каким данным получить доступ?
5. как вообще закрыть Roundcube? Какие приложения и директории помимо phpmyadmin вы бы посоветовали закрыть?
-
grayfolk
- Support team
- Posts: 1111
- Joined: Tue Jul 30, 2013 10:18 pm
- Contact:
- Os: CentOS 6x
- Web: nginx + php-fpm
Re: взлом через Roundcube
Лучший способ - удалить нафиг, а почту перенести на gmail или яндекс.
Если закрывать - то через basic auth. Помимо его и phpmyadmin рекомендую закрыть basic auth доступ к самой панели.
Re: взлом через Roundcube
В продолжение темы: зашел root'ом в mysql, нашел в таблице 'sessions' 3 сессии этого взломщика.
Т.е. доступ к базе 'roundcube' он таки получил.
В логах остались записи, как он туда мог попасть:
"GET /roundcubemail/installer/test.php HTTP/1.0" 200
"GET /roundcubemail/installer/config.php HTTP/1.0" 200
"GET /roundcubemail/installer/?_step=1 HTTP/1.0" 200
Вопрос: мог ли он оттуда получить доступ к другим БД?
Проверьте у себя на серверах, нет ли в БД левых сессий и нет ли папки installer, чтобы вас аналогично не взломали. Например у меня в centos она лежала в /usr/share/roundcubemail
Т.е. доступ к базе 'roundcube' он таки получил.
В логах остались записи, как он туда мог попасть:
"GET /roundcubemail/installer/test.php HTTP/1.0" 200
"GET /roundcubemail/installer/config.php HTTP/1.0" 200
"GET /roundcubemail/installer/?_step=1 HTTP/1.0" 200
Вопрос: мог ли он оттуда получить доступ к другим БД?
Проверьте у себя на серверах, нет ли в БД левых сессий и нет ли папки installer, чтобы вас аналогично не взломали. Например у меня в centos она лежала в /usr/share/roundcubemail