[Админам] Взлом панели VestaCP

06-26-2016, 12:13 PM

Админы. Панель VestaCP заслуженно много где используется, но прошла серия взломов серверов.
При разборе полетов выяснилось, что взлом был через дыру в сбросе админского пароля.

Временно отключите панель

Code:

service vesta stop

и на всякий случай смените пароли как минимум admin/root.

Проверьте

Code:

/var/log/audit/audit.log 
/var/log/secure
/usr/local/vesta/log/auth.log

на предмет логонов с левых ip (ломали китайцы)

Подробности https://forum.vestacp.com/viewtopic....844e0e53b53423

Разработчики в курсе, обещают в понедельник выкатить обновление.

06-29-2016, 02:45 AM

Сегодня ночью начали выкатывать новый релиз, на центосе обновление идет прекрасно, дебиан не проверял.
Хорошо переписана сама панель, sh-скрипты хоть приятно читать. Теперь при создании web-домена в конфе с php-fpm конфиг инклудится без ошибок; поправлен конфиг exim, но часть багов оставили на следующий, 17-й релиз.
Можно обновляться.

10-18-2018, 01:10 PM

Quote:

Our infrastructure server was hacked. Presumably using API bug in the release 0.9.8-20. The hackers then changed all installation scripts to log admin password and ip as addition to the distro name we used to collect stats.

Please check if your server IP here
>>>>> http://vestacp.com/test/?ip=127.0.0.1 <<<<<

If it's there you should change admin passwords as soon as possible. Also please make sure there is no /usr/bin/dhcprenew binary installed on your server. This binary is some sort of trojan that is able to launch remote DDoS attack or open shell to your server

All VestaCP installations being attacked - Page 19 - Vesta Control Panel - Forum

Красиво, однако. Троян сидит в виде /usr/bin/dhcprenew, алгорим действий

Code:

# проверяем наличие файла
file /usr/bin/dhcprenew
# грохаем его
rm -f /usr/bin/dhcprenew
# меняем пароль админа
passwd admin
# меняем пароль рута
passwd root

Smalesh добавил 18.10.2018 в 12:10
Release notes for 0.9.8-23

Security fix for timing attack on password reset. Thanks to https://arcturussecurity.com
Security fix for v-open-fs-config. Its visibility is limited to /etc and /var/lib directories
Security check for/usr/bin/dhcprenew binary. If found checker notifies server administrator
Security improvement for sudo. It is now limited to vesta scripts only and doesn't allow admin to execute any other command
Security improvement: admin password and database passwords are generated individually
Security improvement: new installer doesn't use c.vestacp.com as source for the configuration files. Configs are bundled inside vesta package
Security improvement: installer doesn't send any information to vestacp.com after successful installation. It used to send distro name for usage statistics.

10-19-2018, 01:09 AM

Smalesh, озадачил, блин. Проверил все "сверху донизу", ничего подозрительно не выявил. а позавчера сервак упал, на ровном месте, так и не понял почему вдруг мускуль захотел 12650 Мб
из памяти. Хорошо, что сплю я как разведчик, даже на малом звуке смс слышу, и как узрел, что на мыло упало 600+ уведомлений database error я как подорванный кинулся исправлять. И было это примерно в 7 утра по МСК. Т.е. далеко не пик посещений...

11-18-2018, 09:03 PM

Quote:

Originally Posted by Smalesh

# проверяем наличие файла file /usr/bin/dhcprenew # грохаем его rm -f /usr/bin/dhcprenew # меняем пароль админа passwd admin # меняем пароль рута passwd root

а это где делается? извиняюсь за глупый вопрос

11-18-2018, 09:23 PM

@inso, по SSH

Code:

find /etc -name "*dhcprenew*" 

 find /usr/bin -name "*dhcprenew*"

Убиваем процесс kworker от 24-28 сентября

Code:

ps auxf

https://forum.vestacp.com/viewtopic.php?f=10&t=17795