Vesta Control Panel - Forum

imperio wrote: Tue Apr 10, 2018 5:36 pm Ну так мы и думаем что проблема в системе проверки паролей и аутентификации.
Все что мы знали - написали на форуме. Каких сведений вы от нас ожидаете?

А как на счет того на что я выше в топике ссылку дал?
Как-то не радостно если оно действительно так.

imperio wrote: Tue Apr 10, 2018 5:36 pm Ну так мы и думаем что проблема в системе проверки паролей и аутентификации.
Все что мы знали - написали на форуме. Каких сведений вы от нас ожидаете?

Эта информация от вас как минимум недостаточна.
Возможно и была указанная уязвимость. Вопрос в том, как злоумышленники заразили за несколько дней массу свежеустановленных серверов.
Мой случай я выше описал - сервер свежий, панель закрыта от мира правилами, в мир смотрит только веб-сервер и ссх на нестандартном порту.
Заражение как и у всех всплыло 4-го апреля.
При этом у меня большой парк машин, заражение было на единственной со свежей версией на тот момент.
Закрадываются подозрения, что у вас утечка как минимум информации об свежих установках. А как максимум был бекдор в вашем ПО или в ПО, которое шло в комплекте на тот период.
Возможно я преувеличиваю проблему, но у меня нет других объяснений, по какому совпадению из десятков моих серверов с вестой ломанули именно этот свежеустановленный.

Нам точно неизвестно, как инфекция попала на сервера. Это хотели от нас услышать?

imperio wrote: Tue Apr 10, 2018 5:56 pm Нам точно неизвестно, как инфекция попала на сервера. Это хотели от нас услышать?

Да.
Значит патч не является 100% панацеей.Мой хостер таки подключился к истерии так же.Ультматум сменить панель и начнет блокировать,резать или кромсать всё и вся.При отключении панели служба бекапа работать будет?Бекап будет выгружаться на внешний FTP-сервер?

При отключении веб-интерфейса все остается работать как и прежде. Управление можно производить через CLI

Привет всем, я здесь новенький. Смотрите, как я классно умею нагонять панику:

У нас ночью ломанули сервер, на котором никогда не было весты. Centos 7.4 + webmin 1.1881.
Симптомы похожие: gcc прописан в кроне, вход с китайского ip, сменённый root-пасс.
С утра грешили на ilo со слабым паролем, который к тому же был не обновлён до последнего firmware и лежал мёртвенький (вебинтерфейс).

Так же был обнаружен /cpu/cp/
[root@mail cp]# ls -l
total 380
-rw-r--r-- 1 root root 6 Apr 10 14:49 ?
-rw-r--r-- 1 root root 6 Apr 10 14:49 bash.pid
-rw-r--r-- 1 root root 38 Apr 9 12:23 cron.d
-rwxrwxrwx 1 root root 351 Apr 3 23:41 crv
-rwxrwxrwx 1 root root 8 Apr 9 12:23 dir.dir
-rwxrwxrwx 1 root root 244 Mar 14 16:59 g
-rwxrwxrwx 1 root root 333440 Dec 29 09:58 gcc
-rwxrwxrwx 1 root root 339 Apr 3 23:46 run
-rwxrwxrwx 1 root root 25 Mar 14 19:38 start
-rwxrwxrwx 1 root root 14304 Nov 28 19:29 t
-rwxr--r-- 1 root root 192 Apr 9 12:23 upd

[root@mail cp]# cat g
{ "algo": "cryptonight",
"background": true,
"url": "118.184.39.205:3333",
"user": "2",
"pass": "x",
"keepalive": true,
"nicehash": true

}

[root@mail log]# cat yum.log
Mar 29 17:12:17 Updated: tzdata-2018d-1.el7.noarch
Apr 09 12:23:56 Installed: libXext-1.3.3-3.el7.x86_64
Apr 09 12:23:57 Installed: libXrender-0.9.10-1.el7.x86_64
Apr 09 12:23:57 Installed: libXfixes-5.0.3-1.el7.x86_64
Apr 09 12:23:57 Installed: mpfr-3.1.1-4.el7.x86_64
Apr 09 12:23:57 Installed: libmpc-1.0.1-3.el7.x86_64
Apr 09 12:23:57 Installed: libXdamage-1.1.4-4.1.el7.x86_64
Apr 09 12:23:57 Installed: libxshmfence-1.2-1.el7.x86_64
Apr 09 12:23:58 Installed: libstdc++-devel-4.8.5-16.el7_4.2.x86_64
Apr 09 12:23:58 Installed: mesa-libglapi-17.0.1-6.20170307.el7.x86_64
Apr 09 12:23:58 Installed: atk-2.22.0-3.el7.x86_64
Apr 09 12:23:58 Installed: mesa-libgbm-17.0.1-6.20170307.el7.x86_64
Apr 09 12:23:59 Installed: mesa-libEGL-17.0.1-6.20170307.el7.x86_64
Apr 09 12:24:00 Installed: cpp-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:02 Installed: gcc-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:02 Installed: libXcursor-1.1.14-8.el7.x86_64
Apr 09 12:24:03 Installed: libXft-2.3.2-2.el7.x86_64
Apr 09 12:24:03 Installed: libXrandr-1.5.1-2.el7.x86_64
Apr 09 12:24:03 Installed: libXinerama-1.1.3-2.1.el7.x86_64
Apr 09 12:24:03 Installed: libXxf86vm-1.1.4-1.el7.x86_64
Apr 09 12:24:03 Installed: mesa-libGL-17.0.1-6.20170307.el7.x86_64
Apr 09 12:24:03 Installed: libXi-1.7.9-1.el7.x86_64
Apr 09 12:24:03 Installed: pixman-0.34.0-1.el7.x86_64
Apr 09 12:24:03 Installed: cairo-1.14.8-2.el7.x86_64
Apr 09 12:24:03 Installed: libthai-0.1.14-9.el7.x86_64
Apr 09 12:24:04 Installed: perl-TermReadKey-2.30-20.el7.x86_64
Apr 09 12:24:04 Installed: jbigkit-libs-2.0-11.el7.x86_64
Apr 09 12:24:04 Installed: libtiff-4.0.3-27.el7_3.x86_64
Apr 09 12:24:04 Installed: libarchive-3.1.2-10.el7_2.x86_64
Apr 09 12:24:04 Installed: libXcomposite-0.4.4-4.1.el7.x86_64
Apr 09 12:24:04 Installed: jasper-libs-1.900.1-31.el7.x86_64
Apr 09 12:24:04 Installed: gdk-pixbuf2-2.36.5-1.el7.x86_64
Apr 09 12:24:04 Installed: gtk-update-icon-cache-3.22.10-5.el7_4.x86_64
Apr 09 12:24:04 Installed: graphite2-1.3.10-1.el7_3.x86_64
Apr 09 12:24:05 Installed: harfbuzz-1.3.2-1.el7.x86_64
Apr 09 12:24:05 Installed: pango-1.40.4-1.el7.x86_64
Apr 09 12:24:05 Installed: rsync-3.0.9-18.el7.x86_64
Apr 09 12:24:05 Installed: hicolor-icon-theme-0.12-7.el7.noarch
Apr 09 12:24:05 Installed: avahi-libs-0.6.31-17.el7.x86_64
Apr 09 12:24:06 Installed: 1:cups-libs-1.6.3-29.el7.x86_64
Apr 09 12:24:07 Installed: gtk2-2.24.31-1.el7.x86_64
Apr 09 12:24:07 Installed: libmicrohttpd-0.9.33-2.el7.x86_64
Apr 09 12:24:07 Installed: libgnome-keyring-3.12.0-1.el7.x86_64
Apr 09 12:24:07 Installed: perl-Git-1.8.3.1-12.el7_4.noarch
Apr 09 12:24:10 Installed: git-1.8.3.1-12.el7_4.x86_64
Apr 09 12:24:10 Installed: libmicrohttpd-devel-0.9.33-2.el7.x86_64
Apr 09 12:24:10 Installed: openssh-askpass-7.4p1-13.el7_4.x86_64
Apr 09 12:24:13 Installed: cmake-2.8.12.2-2.el7.x86_64
Apr 09 12:24:15 Installed: gcc-c++-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:15 Installed: libstdc++-static-4.8.5-16.el7_4.2.x86_64
Apr 09 12:24:15 Installed: openssh-ldap-7.4p1-13.el7_4.x86_64
Apr 09 12:24:15 Installed: openssh-cavs-7.4p1-13.el7_4.x86_64
Apr 09 12:24:15 Installed: openssh-keycat-7.4p1-13.el7_4.x86_64
Apr 09 12:24:16 Installed: openssh-server-sysvinit-7.4p1-13.el7_4.x86_64
Apr 10 10:01:11 Updated: usermin-1.741-1.noarch
Apr 10 14:52:05 Erased: gcc-c++-4.8.5-16.el7_4.2.x86_64
Apr 10 14:52:06 Erased: gcc-4.8.5-16.el7_4.2.x86_64
Apr 10 14:52:18 Installed: gcc-4.8.5-16.el7_4.2.x86_64
Apr 10 15:07:41 Installed: 1:compat-glibc-2.12-4.el7.centos.x86_64
Apr 10 15:07:41 Installed: 1:compat-glibc-headers-2.12-4.el7.centos.x86_64
Apr 10 15:07:42 Installed: glibc-static-2.17-196.el7_4.2.x86_64

вывод один, надо как можно больше защиты
порт весты вообще можно спрятать используя прокси нгинкса чтоб открывался по определеному урл
например домен p8.domain.ru добавляем в панели, редактируем нгинкс конфиг меняя строчку где идет переадресация на порт 8080 на порт весты, а в фаерволе разрешаем вход в весту только с локалхост

Извините за вопрос немножко не по теме, но возможно ли сделать в весте фаервол не только входящих портов но и исходяших?
например если такий был бы то бот не смог бы спамить и брутить другие сервера и ддосить

у меня например те сервера на которых веста стояла на измененом порту не хакнули, как чувствовал что лучше скрыть от глаз долой.
еще нюанс что ломанули только сервера на изместных хостингах типа вультр линоде и джидиталошиан
наверно только по ихним айпишкам запускали сканирование

upxbot wrote: Tue Apr 10, 2018 8:47 pm у меня например те сервера на которых веста стояла на измененом порту не хакнули, как чувствовал что лучше скрыть от глаз долой.
еще нюанс что ломанули только сервера на изместных хостингах типа вультр линоде и джидиталошиан
наверно только по ихним айпишкам запускали сканирование

еще раз пишу - из 10 машин с вестами, лишь на одной был изменен порт, ставил ее новую, на чистый серв, сразу порт поменял. Смена порта весты от проблемы не защитило! У людей из английской ветки вход только по белому ip был, и все равно ломанули. Сколько страниц еще можно мусолить одно и тоже? Хоть почитайте последних страниц 5-6, все таки серьезное происшествие для того, чтобы не ознакомиться!

imperio wrote: Tue Apr 10, 2018 5:56 pm Нам точно неизвестно, как инфекция попала на сервера. Это хотели от нас услышать?

Да. Потому что допускаем, что инфекция могла прийти не от вас.

upxbot wrote: Tue Apr 10, 2018 8:47 pm у меня например те сервера на которых веста стояла на измененом порту не хакнули, как чувствовал что лучше скрыть от глаз долой.
еще нюанс что ломанули только сервера на изместных хостингах типа вультр линоде и джидиталошиан
наверно только по ихним айпишкам запускали сканирование

Я писал выше, порт весты в принципе был заблочен файрволом. Не помогло.