Техническая поддержка форумов vBulletin
  форум vBSupport.ru > vBSupport.ru > Безопасность

[Админам] Взлом панели VestaCP

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
 
 
 
Smalesh
В Черном списке
Exclamation Взлом панели VestaCP
8
Админы. Панель VestaCP заслуженно много где используется, но прошла серия взломов серверов.
При разборе полетов выяснилось, что взлом был через дыру в сбросе админского пароля.

Временно отключите панель
Code:
service vesta stop
и на всякий случай смените пароли как минимум admin/root.

Проверьте
Code:
/var/log/audit/audit.log 
/var/log/secure
/usr/local/vesta/log/auth.log
на предмет логонов с левых ip (ломали китайцы)

Подробности https://forum.vestacp.com/viewtopic....844e0e53b53423

Разработчики в курсе, обещают в понедельник выкатить обновление.
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
Smalesh
В Черном списке
Default
6
Сегодня ночью начали выкатывать новый релиз, на центосе обновление идет прекрасно, дебиан не проверял.
Хорошо переписана сама панель, sh-скрипты хоть приятно читать. Теперь при создании web-домена в конфе с php-fpm конфиг инклудится без ошибок; поправлен конфиг exim, но часть багов оставили на следующий, 17-й релиз.
Можно обновляться.
 
 
Smalesh
В Черном списке
Default
3
Quote:
Our infrastructure server was hacked. Presumably using API bug in the release 0.9.8-20. The hackers then changed all installation scripts to log admin password and ip as addition to the distro name we used to collect stats.

Please check if your server IP here
>>>>> http://vestacp.com/test/?ip=127.0.0.1 <<<<<

If it's there you should change admin passwords as soon as possible. Also please make sure there is no /usr/bin/dhcprenew binary installed on your server. This binary is some sort of trojan that is able to launch remote DDoS attack or open shell to your server
All VestaCP installations being attacked - Page 19 - Vesta Control Panel - Forum

Красиво, однако. Троян сидит в виде /usr/bin/dhcprenew, алгорим действий
Code:
# проверяем наличие файла
file /usr/bin/dhcprenew
# грохаем его
rm -f /usr/bin/dhcprenew
# меняем пароль админа
passwd admin
# меняем пароль рута
passwd root
Smalesh добавил 18.10.2018 в 12:10
Release notes for 0.9.8-23
  • Security fix for timing attack on password reset. Thanks to https://arcturussecurity.com
  • Security fix for v-open-fs-config. Its visibility is limited to /etc and /var/lib directories
  • Security check for/usr/bin/dhcprenew binary. If found checker notifies server administrator
  • Security improvement for sudo. It is now limited to vesta scripts only and doesn't allow admin to execute any other command
  • Security improvement: admin password and database passwords are generated individually
  • Security improvement: new installer doesn't use c.vestacp.com as source for the configuration files. Configs are bundled inside vesta package
  • Security improvement: installer doesn't send any information to vestacp.com after successful installation. It used to send distro name for usage statistics.
Last edited by Smalesh : 10-18-2018 at 01:10 PM. Reason: Добавлено сообщение
 
 
madbadjack
Эксперт
 
madbadjack's Avatar
Default
0
Smalesh, озадачил, блин. Проверил все "сверху донизу", ничего подозрительно не выявил. а позавчера сервак упал, на ровном месте, так и не понял почему вдруг мускуль захотел 12650 Мб
из памяти. Хорошо, что сплю я как разведчик, даже на малом звуке смс слышу, и как узрел, что на мыло упало 600+ уведомлений database error я как подорванный кинулся исправлять. И было это примерно в 7 утра по МСК. Т.е. далеко не пик посещений...
 
 
inso
Знаток
 
inso's Avatar
Default
0
Quote:
Originally Posted by Smalesh View Post
# проверяем наличие файла file /usr/bin/dhcprenew # грохаем его rm -f /usr/bin/dhcprenew # меняем пароль админа passwd admin # меняем пароль рута passwd root
а это где делается? извиняюсь за глупый вопрос
 
 
artscripts
Эксперт
 
artscripts's Avatar
Default
0
@inso, по SSH
Code:
find /etc -name "*dhcprenew*" 

 find /usr/bin -name "*dhcprenew*"
Убиваем процесс kworker от 24-28 сентября
Code:
ps auxf

https://forum.vestacp.com/viewtopic.php?f=10&t=17795
Last edited by artscripts : 11-18-2018 at 09:29 PM.
 

Tags
vesta, vestacp, взлом, панель, хостинг

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 12:37 AM.

Contact Us - vBSupport.ru - Privacy Policy - Top

Powered by vBulletin® Version 3.7.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.