RuWeb.net Forum - разработано XMB

Уязвимость в VestaCP

cosupport - 8.4.2018 в 12:35

Внимание. Поступают многочисленные сообщения о взломе VDS с панелью VestaCP

https://forum.vestacp.com/viewtopic.php?f=10&t=16556

Обнаружить взлом вашего VDS можно посмотрев директорию etc/cron.hourly/
Если там присутствует файл gcc.sh - ваш vds взломан.
Пока рекомендации такие.

Выключить VestaCP , даже если ваш VDS не взломан.

Debian - Ubuntu service vesta stop
Centos systemctl stop vesta

Если взломан
Действовать как тут написано
https://superuser.com/questions/877896/unknown-linux-process-with-random-comm...

Сменить пароль root и admin и не забыть их.
passwd
passwd admin

Мы будем дополнять руководство по поступлении информации от разработчика

Дополнение
Вышел патч от VestaCP
https://github.com/serghey-rodin/vesta/commit/1034d1bbc29d9fad0c588845766b895...

Поступило решение о лечении
https://superuser.com/questions/877896/unknown-linux-process-with-random-comm...

Панель надо обязательно остановить.

После чистки и смены пароля вирус пока не появлялся.

Внимание. Бесплатная услуга отчистки от вируса.

Если у вас не достаточно квалификации для отчистки от этого вируса в VestaCP и вы наш клиент - напишите нам в техподдержку, сообщите , что у вас нет не денег, не квалификации это исправить, сообщите нынешний root пароль от вашего сервера.

Бесплатный услуги будут оказывать по мере занятости наших администраторов, после выполнения обычных и платных услуг. Никаких гарантий и притензий на бесплатные услуги не принимается.

[Отредактировано 9.4.2018 кто support]

Anonymous - 9.4.2018 в 09:12

Добрый день. Вы закрыли доступ на 8083 порт?
Хочу обновить весту через его веб (хост не взломан), а не через командную строку, т.к. через нее обновится всё, в т.ч. и облако (чего мне не нужно).

kpv - 9.4.2018 в 09:25

Да, пока в аварийном режиме закрыли пост весты.

Вот тема от разработчиков
https://forum.vestacp.com/viewtopic.php?p=68893#p68893

Цитата:

The fix has been released just now!
As usually there are 3 ways to update your server:

1. Via web interface
- Login as admin
- Go to updates tab
- Click un update button under vesta package

2. Via package manager
- SSH as root to your server
- yum update / apt-get update && apt-get upgrade

3. Via GitHub
- SSH as root
- Install git / yum install git /apt-get install git
- Then run following commands
CODE: SELECT ALL

cd $(mktemp -d)
git clone git://github.com/serghey-rodin/vesta.git
/bin/cp -rf vesta/* /usr/local/vesta/
Some information about this indecent. We still don't have working exploit for previous version. But we know for sure that the vector of attack was through a potentially unsecure password check method. Therefore we have completely rewrite password auth function. It's bullet proof now!

Please upgrade your servers as soon as possible.

Anonymous - 9.4.2018 в 09:25

Куда писать чтоб открыли порт? Доступ в панель был по ip, но похоже на всех vps закрыли порт 8083

kpv - 9.4.2018 в 09:34

Да, чтобы обезопасить все сервера от взлома - порт закрыли всем. Открыть персонально для каждого VDS пока нет готового решения, но возможно сделаем попозже, а пока перевесьте порт весты на другой.

[Отредактировано 10.4.2018 кто support]

Anonymous - 9.4.2018 в 09:42

Только вот ещё нужно лезть в бранмаур весты и открывать порт там.

Anonymous - 9.4.2018 в 10:01

Фаерволл из командной строки можно выключить через v-stop-firewall
Заменить порт весты и рестартануть fail2ban из веба.

Anonymous - 9.4.2018 в 15:19

Мануал по смене порта - https://forum.vestacp.com/viewtopic.php?f=10&t=16556&start=280#p68935

support - 9.4.2018 в 15:43

Быстрая смена порта с 8083 на 8088:

Код:

perl -pi -e 's/^(s*listens+)8083;/${1}8088;/' /usr/local/vesta/nginx/conf/nginx.conf
systemctl restart vesta
perl -pi -e "s/ PORT='8083'/ PORT='8088'/" /usr/local/vesta/data/firewall/rules.conf
v-update-firewall

[Отредактировано 9.4.2018 кто support]

kpv - 11.4.2018 в 17:27

Вышло обновление 0.9.8-20 от разработчиков VestaCP
https://forum.vestacp.com/viewtopic.php?f=25&t=16575
закрывающих уязвимость в панели, предположительно через которую можно было взломать сервер и использовать его для DDOS атак и рассылки спама.

Для самостоятельного обновления вы можете подключиться к VDS по SSH и выполнить команду:

Для Ubuntu/Debian:
apt-get update && apt-get upgrade
Для CentosOS:
yum upgrade

Внимание:, данные команды обновляют не только панель, но и всё программное обеспечение на VDS. Если Вы давно не выполняли обновление своего сервера, то рекомендуем перед обновлением сохранить все важные данные и конфигурации основных служб на нём.

запустите команду
v-list-sys-vesta-updates
которая покажет текущее значение версий

Код:

# v-list-sys-vesta-updates
PKG VER REL ARCH UPDT DATE
--- --- --- ---- ---- ----
vesta 0.9.8 20 amd64 yes 2018-04-09
vesta-php 0.9.8 19 amd64 yes 2018-01-23
vesta-nginx 0.9.8 20 amd64 yes 2018-04-09

[Отредактировано 11.4.2018 кто kpv]

kpv - 13.4.2018 в 10:24

Персональную блокировку порта 8083 для VDS с панелью Vesta сделали. общую блокировку 8083 сняли. Если Вы обновили панель и надо открыть порт 8083 - напишите в техподдержку.

cosupport - 26.6.2018 в 23:14

И снова уязвимость.
В панели VestaCP вновь обнаружена уязвимость. Просим немедленно обновить ваши панели управления VestaCP. Подробности по ссылке https://forum.vestacp.com/viewtopic.php?f=10&t=17183