The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость и массовые взломы хостинг-панели VestaCP

09.04.2018 22:03

В web-панели управления хостингом VestaCP, распространяемой под лицензией GPLv3, выявлена критическая уязвимость, позволяющая неаутентифицированному злоумышленнику получить доступ с правами root. Уязвимость устранена в выпуске 0.9.8-20. Всем пользователям VestaCP рекомендуется срочно установить обновление.

Проблема уже активно эксплуатируется c использованием автоматизированной атаки и в сети появились массовые жалобы на поражение серверов, на которых используется хостинг-панель VestaCP. Атакованные виртуальные серверы, как правило, используется для совершения DDoS-атак через направление на жертв большого потока трафика. В качестве одного из способов выявления типового взлома называется проверка на предмет появления файла /etc/cron.hourly/gcc.sh и троянской библиотеки /lib/libudev.so. Для временной защиты от атаки можно отключить панель ("service vesta stop") или закрыть доступ к сетевому порту 8083, который по умолчанию используется в VestaCP для доступа к API и аутентификации.

Судя по внесённым изменениям проблема вызвана передачей поступающих извне аргументов в командой строке без предварительного экранирования символов или возникновением условий, позволяющих манипулировать кодом возврата в shell-скрипте, выполняющем проверку параметров аутентификации. Например, аутентификация организована через вызов shell-скрипта и в коде достаточно много сомнительных мест, в которых ранее записанные в файл аргументы передаются на вход shell-скриптам.

  1. Главная ссылка к новости (https://www.digitalocean.com/c...)
  2. OpenNews: Уязвимость в панели управления хостингом Vesta, позволяющая получить права root
  3. OpenNews: Вышло обновление панели управления хостингом Vesta 0.9.8-15
  4. OpenNews: На серверах с Cpanel выявлен бэкдор, интегрированный в исполняемый файл Apache httpd
  5. OpenNews: Выявлен червь, использующий уязвимость в панели управления хостингом Parallels Plesk
  6. OpenNews: Используемая в SourceForge хостинг-платформа Allura получила статус первичного проекта Apache
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/48416-vestacp
Ключевые слова: vestacp, hosting
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (91) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, th3m3 (ok), 22:07, 09/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А я предупреждал, что вас эти php-панели до добра не доведут. Ну, вот, пожалуйста! Наслаждайтесь :)
     
     
  • 2.3, A.Stahl (ok), 22:09, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • +24 +/
    Угу, нужно переписать на Форт. Когда много писалось на Форт, то не было таких проблем. Вот.
     
     
  • 3.4, xm (ok), 22:18, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Кстати, мысль. Нынешние кулхацкеры быстро об него зубы пообломают и проблем не будет :-)
     
     
  • 4.11, qsdg (ok), 23:29, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тут даже форта не нужно, пхп-макаки даже от современного rust-а быстро скиснут, и пойдут искать другую работу
    я не люблю когда язык сложный (rust, scala), но одно в них хорошо -- фильтруют дураков
     
     
  • 5.16, scalarust (?), 23:52, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • +12 +/
    >но одно в них хорошо -- фильтруют дураков

    и правда, умный человек не станет с этим связываться

     
     
  • 6.33, Аноним (-), 08:35, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    И пойдёт себе спокойно водить такси среди таких же умных людей.
     
     
  • 7.46, Аноним (-), 10:05, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А вам в голову не приходило, что на такси сбить человека насмерть можно, а на пхп нет. Лучше ли, если он пойдет водить такси, или фуру, или станет депутатом городской думы ?
     
  • 7.58, Диносуслик (?), 12:43, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скоро таксисты без работы останутся со всеми вашими ИИ и теслами
     
     
  • 8.77, Bicycle (ok), 20:23, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а Теслы периодически будут направлять своих водителей в отбойники ... текст свёрнут, показать
     
     
  • 9.85, Аноним (-), 00:03, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но скорее всего намного реже живых водителей Которые со всем этим прекрасно спр... большой текст свёрнут, показать
     
     
  • 10.88, пох (?), 02:08, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    абстрактных в сферовакууме - да мне больше интересно, сумеет ли он поймать маши... большой текст свёрнут, показать
     
     
  • 11.93, Аноним (-), 06:56, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чисто статистически люди виноваты в большинстве транспортных происшествий на все... большой текст свёрнут, показать
     
     
  • 12.98, пох (?), 13:28, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    пока они за рулем - они и будут виноваты Уберешь - будет виновата автоматика А... большой текст свёрнут, показать
     
  • 5.39, angra (ok), 09:43, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Для самых юных, которые не застали, и старых, которых уже подводит память, сообщаю, на рубеже веков самым популярным языком тогдашних веб девелоперов был Perl. Да, тот самый, который сейчас большинство не осиливает. Никакой фильтрации дураков при этом не наблюдалось и близко, уровень большей части кода был настолько низким, что современный код на пыхе, включая сабж, на этом фоне кажется шедевром. Так что рассказы про порог вхождения и фильтрацию дураков это от незнания истории и непонимания простой мысли - чтобы писать на языке, его вовсе не обязательно осваивать полностью.
     
     
  • 6.49, xm (ok), 10:30, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я настолько стар (я супер стар!), что помню всё, поэтому Perl против Forth это как английская письменность супротив китайской.
     
     
  • 7.69, имя (?), 14:36, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    и чем же форт так страшен/силен? перекладываешь на стек данные и делаешь вызов для их обработки, обычный язык, но постфисной записью.
     
     
  • 8.71, xm (ok), 15:59, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Далеко не обычный Он своей логикой большинство всегда пугал Как кто-то сказал ... текст свёрнут, показать
     
     
  • 9.72, 1 (??), 16:50, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причём тут китайцы Обычная польская запись как в мк-62... текст свёрнут, показать
     
     
  • 10.76, xm (ok), 20:11, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я понял, что вы не поняли ... текст свёрнут, показать
     
  • 10.78, angra (ok), 20:32, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут лучше вспомнить программируемые МК-61 и МК-52 Они в базовом использовании п... текст свёрнут, показать
     
     
  • 11.86, Аноним (-), 00:12, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это на самом деле обычный ассемблер Просто кривой, первобытный и потому весьма ... текст свёрнут, показать
     
     
  • 12.89, angra (ok), 03:02, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как напишешь компилятор С для МК-61, так возвращайся Ну или хотя бы попробуй... текст свёрнут, показать
     
     
  • 13.91, Аноним (-), 04:40, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там компилятор нужен мозгам того кто это непотребное гвоно разрабатывал и смел в... большой текст свёрнут, показать
     
     
  • 14.97, angra (ok), 11:31, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего себе сколько ненависти Тебя что в детстве МК-61 покусал и это травмирова... текст свёрнут, показать
     
     
  • 15.101, пох (?), 18:04, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    у него в детстве был z80 А у тебя не было, хиххи, неудачник ... текст свёрнут, показать
     
  • 15.102, scorry (ok), 18:21, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Он просто его не освоил ... текст свёрнут, показать
     
  • 14.100, пох (?), 18:03, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    э если что, это сейчас был наезд на фирму HP То, с чего был содран Бз-38 и пр... большой текст свёрнут, показать
     
  • 6.50, пох (?), 10:30, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Никакой фильтрации дураков при этом не наблюдалось

    наблюдалось: дураки писали код с уязвимостями сами, а "умные" получали дыру в CGI.pm из правильно оформленного репозитория, разумеется, напрочь изолированного от системных методов управления пакетами и, соответственно, автоматических апдейтов (правда, авторы перла тут не очень виноваты, они пытались. Авторы go и пихона уже и не пытаются, "давайте ставить все в $HOME")

     
  • 6.54, scorry (ok), 10:45, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати да. Раньше скрипты копировали и прикручивали фекально-дендральным методом, и сечас та же самая ситуация.
     
  • 4.14, пох (?), 23:43, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кстати, мысль. Нынешние кулхацкеры быстро об него зубы пообломают и проблем не
    > будет :-)

    нынешние программисты обломаются гораздо раньше, поэтому как пользовали мы "панели", написанные на пехепе, так и дальше будем. Впрочем, нет, пехепе тоже немодно, надо непременно написать свой (дырявый) вебсервер на сях, как у (нрзб) ispmgr.

     
  • 2.43, Аноне (?), 09:53, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И как же вызываются системные приложения и скрипты из фреймворков на других языках? Не у ж то ритуалами и окуриванием?
     
     
  • 3.56, YetAnotherOnanym (ok), 10:49, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Во-первых, не обязательно дёргать именно приложение - во всех языках, которые я ... большой текст свёрнут, показать
     
     
  • 4.57, ПупкинВасуасилий (?), 12:40, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >>скопипастить соответствующий фрагмент кода

    Я уверен, что ты не просто стреляешь себе в ногу. Ты на обрез садиться пытаешься.

     
     
  • 5.60, пох (?), 12:56, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>скопипастить соответствующий фрагмент кода
    > Я уверен, что ты не просто стреляешь себе в ногу. Ты на
    > обрез садиться пытаешься.

    тут больше похоже - на ядерную ракету. Причем до выстрела дело не дойдет, слишком много нужно сделать в правильной последовательности, а вот облучиться или травануться горючим - не один раз.

    Поставленная задача при этом заключается в том, чтобы прибить скворечник.

     
     
  • 6.68, YetAnotherOnanym (ok), 14:21, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > тут больше похоже - на ядерную ракету. Причем до выстрела дело не
    > дойдет, слишком много нужно сделать в правильной последовательности, а вот облучиться
    > или травануться горючим - не один раз.
    > Поставленная задача при этом заключается в том, чтобы прибить скворечник.

    Ну, допустим, надо прибить скворечник, а молотка нет. Ядерная ракета осматривается со всех сторон, ввиду неустранимого несходства с молотком оставляется в покое, после чего из ЗИПа достаётся молоток и используется по назначению.

     
  • 5.67, YetAnotherOnanym (ok), 14:16, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я уверен

    Ты ошибся.

     
  • 3.80, angra (ok), 20:44, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И как же вызываются системные приложения и скрипты из фреймворков на других  языках? Не у ж то ритуалами и окуриванием?

    Ну например в perl функция system  позволяет задать аргументы в отдельных параметрах. То есть первый аргумент это имя скрипта, все последующие это его параметры. И вот уже волшебным образом нет никаких проблем с экранированием, так как разборка команды шеллом не производится вообще. Но можно конечно и как в php собрать комманду в одну строку из кусков и скормить как одно целое. Perl не запрещает стрелять себе в ногу, лишь предоставляет способы этого не делать.


     
     
  • 4.82, mickvav (?), 22:58, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, если не забыть проверить все параметры регулярочками (и выкинуть все, под которые забыл написать регулярочки) - то вроде ничего. Если в регулярочках не накосячить. А если этого не делать - всяк напорешься - ну ушел от шелла при разборе system-а, а что если ты system-ом шелловский скрипт вызвал, и уже он не думая передаст твои неэкранированные параметры куда-то ещё?
     
     
  • 5.90, angra (ok), 03:12, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, если не забыть проверить все параметры регулярочками (и выкинуть все, под  которые забыл написать регулярочки) - то вроде ничего. Если в регулярочках  не накосячить.

    Согласен, но вопрос то был про другое.

    > ну ушел от шелла при разборе system-а, а что если ты  system-ом шелловский скрипт вызвал, и уже он не думая передаст твои  неэкранированные параметры куда-то ещё?

    То это будут уже проблемы автора шелловского скрипта :)


     
  • 2.45, А (??), 09:57, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Еще один говоритель. А на чем писать, чтобы было железобетонно безопасно, ты не говорил тогда же? А про руки, которые пишут, ты не говорил? А сам сколько написал массового, но такого, что не взломали? Лично свою систему управления домашним роутером можно не вспоминать, она всегда безопасна, потому что никому не нужна.
     
  • 2.83, Аноним (-), 23:52, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    она же на bash
     
  • 2.104, Иосиф Виссарионович Сталин (?), 01:38, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И не говори. Ведь дыры есть только в ПохаПэ.
    А так везде все супер.
     

  • 1.5, fi (ok), 22:28, 09/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > аутентификация организована через вызов shell-скрипта

    Надо же! а я думал таких идиотов уже в природе нет — типа все вымерли. помню ещё в PSA такою дрянь выкашивали

     
     
  • 2.7, YetAnotherOnanym (ok), 23:08, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > таких идиотов уже в природе нет — типа все вымерли

    У них респавн рейт высокий.

     
  • 2.9, Аноним (-), 23:13, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >проблема вызвана передачей поступающих извне аргументов в командой строке без предварительного экранирования символов

    Боже, веб-макак жизнь ничему не учит.

     

  • 1.6, Вася (??), 23:02, 09/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Панелька-то хорошая, надеюсь прокашляется
     
     
  • 2.12, qsdg (ok), 23:31, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Панелька-то хорошая, надеюсь прокашляется

    надеюсь, нет
    по моему опыту, безопасные программы пишутся с оглядкой на безопасность с самого начала, потом "прокашляться" не получится, только переписыват с нуля

     
  • 2.19, th3m3 (ok), 01:14, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Как она может быть хорошей, если она на php? А потом вот такие новости.
     
     
  • 3.84, Аноним (-), 23:55, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Макаки остаются макаками независимо от ЯП. А пых "виноват" лишь тем что у него порог вхождения низкий. Ну а что, на питоне в bitmessage посадили фееричную дыру с eval внешних данных. Да даже энтерпрайзные жабисты с апач спрутом наломали дров, так что мало не показалось.

    Конечно бывает так что ЯП очень сильно помогает прострелу пяток, как тут в примере с шеллскриптами и экранированием. Но это больше всего характерно для ЯП и протоколов повернутых на тексте и поэтому потенциально неустойчивых к пичканию их тем что текстом не является или специально подогнанным текстом, который целенаправленно рушит изначально задуманную структуру чтобы извлечь из новой трактовки внешних данных какую-то пользу.

     

  • 1.8, Аноним (-), 23:11, 09/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Шелл-скрипты — лидер на рынке выстрелов в ногу.
     
     
  • 2.10, Michael Shigorin (ok), 23:20, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Шелл-скрипты — лидер на рынке выстрелов в ногу.

    Вообще-то не шелл, а неумение думать [о последствиях].  Например, в данном разе явно не думали, что проблема вообще-то в обработке недоверенных входных данных :-(

    PS: *беспечной обработке, разумеется.

     
     
  • 3.13, пох (?), 23:40, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вообще-то не шелл, а неумение думать [о последствиях].

    оно, обычно, сочетается. Почему? Потому что мне вполне хватило одного раза, на заре карьеры, потрахаться с кодом сайта, написанным на shell, это упражнение на расстановку кавычек я еще долго вспоминал с позывами на проблев.

    люди, которые умеют думать, выберут инструмент, более подходящий для такой задачи.

     
     
  • 4.23, Алконим (?), 02:26, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    С кавычками там конечно перебор.
     
  • 3.15, Анонисмус (?), 23:43, 09/04/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    "в данном разе" - интересный оборот.
    Это что-то типа украинского "у цьому разі"?
     
     
  • 4.22, universite (ok), 02:06, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У цьому випадку
     
  • 2.18, KonstantinB (ok), 00:38, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Судя по changeset-у, там не столько шелл или пхп, сколько головной мозг. Они пароли передавали из PHP в шелл-скрипты через временный файл в /tmp. В плейнтексте.
     
     
  • 3.40, пох (?), 09:44, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вообще-то это лучший способ из имеющихся и вполне безопасный (если не запутаться с mkstemp).
    Предложите другой, если пароли нам нужны для валидации в чем-то (то есть нужен именно пароль, а не его хэш).
    Псевдотерминалы не предлагайте, это сразу нах... с пляжа без панамки.

     
     
  • 4.75, KonstantinB (ok), 18:10, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > то есть нужен именно пароль, а не его хэш

    Так посмотри на патчи. Там именно что хэша более чем достаточно.

     
  • 2.21, Anonim (??), 02:00, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Шелл-скрипты — лидер на рынке выстрелов в ногу.

    Ружьё — лидер на рынке выстрелов в ногу.

    Кэп набегает.

     
     
  • 3.94, Аноним (-), 07:07, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не Кэп, ты Генерал Фэйлор. Из ружья стрелять себе в ногу не особо то удобно. Вот пистолет - это да...
     

  • 1.17, Аноним (-), 00:26, 10/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У меня так один сервер сгорел, даже бекапа не было. Я идиот.
    Второй чуть сегодня потерял... Придется отказываться от недопанели, что они там еще найдут я не знаю.
     
     
  • 2.30, 1 (??), 07:54, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А с братом-то что ?
     
     
  • 3.63, Аноноим (?), 13:54, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Жив, пишу с него.
     
     
  • 4.95, Аноним (-), 07:08, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Жив, пишу с него.

    А, так это ты тот исследователь который сканер мозга хакнул? Ну и как mind sharing? Доставляет?

     

  • 1.20, Аноним (-), 01:19, 10/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    v-list-sys-vesta-autoupdate
    Enabled
     
  • 1.25, Тот_Самый_Анонимус (?), 06:39, 10/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >под лицензией GPLv3

    Ясно, понятно.

     
  • 1.29, Hellraiser (??), 07:37, 10/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    web-панели управления - это зло; консоль, только консоль
     
     
  • 2.31, 1 (??), 07:55, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В консоли же shell - и, как запостили выше, он стреляет по ногам
     
  • 2.42, пох (?), 09:47, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > web-панели управления - это зло; консоль, только консоль

    бздынь, звонок в три часа ночи выходного дня - мы только что придумали новый домен и уже оплатили - заведи новый сайт! (вариант "только что вышел на работу новый девелопер из Бангалора, у него уже утро и ему нужен ftp логин")
    Нет, никаких доплат за сверхурочную работу - у тех кто использует панели, звонить великому админчегу не требуется, пользователь может выполнить нужные ему действия сам. А фанат консолей пусть пашет бесплатно.

     
     
  • 3.81, th3m3 (ok), 21:39, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На такие случаи, ничего не мешает написать свой функционал.
     
     
  • 4.87, пох (?), 01:48, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > На такие случаи, ничего не мешает написать свой функционал.

    этот функционал в законченном виде и называется "панель управления виртуальным хостингом".
    Как напишете - приходите, посмотрим. Вдруг свершится чудо и получится лучше чем cpanel.

    хотя без понимания задачи - это вряд ли. А оно (судя по стертым роботом-$@том комментам) даже не на зачаточном уровне, так что даже и vesta не выйдет.

     
  • 4.96, Аноним (-), 07:24, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > На такие случаи, ничего не мешает написать свой функционал.

    А с чего ты взял что там глупых багов будет меньше чем в сабже? Ты мягко говоря не похож на эксперта по безопасности компьютерных систем, для начала.

     
     
  • 5.103, th3m3 (ok), 21:33, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Меня мягко говоря, не волнует, похож я на кого-то или нет.
     

  • 1.32, DAV (?), 08:11, 10/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сам троян написан на плюсах. Оригинал тушки создан в 2015.
    На virustotal его имена типа "Linux.DDoS.Xor.4"
    libudev.so имеет размер -- 625611
    порождаемые им потомки -- 625622, имеют рандомные имена в 10 символов
    Руками прибивается легко. Не сопротивляется сильно.
    Главное постараться прибить сразу все экземпляры.
     
     
  • 2.34, Аноним (-), 08:54, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Руками прибивается легко. Не сопротивляется сильно.

    Главное постараться прибить сразу все экземпляры.

    Вообще-то это антивирус делать должен.

     
  • 2.92, Аноним (-), 04:46, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > libudev.so имеет размер -- 625611

    Его что, дельфисты писали?!

     

  • 1.35, DAV (?), 09:04, 10/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ...Должен конечно.
    Я одного прибитого вируса пол-года проверял всяческими антивирусами.
    Никто не признавался.
     
  • 1.36, Аноним (-), 09:22, 10/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > VestaCP, распространяемой под лицензией GPLv3

    GPL v3, этим все сказано..

     
  • 1.38, ryoken (ok), 09:42, 10/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для временно защиты от атаки можно отключить панель
    > ("service vesta stop") или закрыть доступ к сетевому порту 8083, который
    > по умолчанию используется в  VestaCP для доступа к API и
    > аутентификации.

    Я вот как-то не понял, эта самая панель тоже хвостом в Ынет торчит, как и веб-сервер? (плохо разбираюсь в этом). За OpenVPN затолкать её вообще никак нельзя?

     
     
  • 2.41, angra (ok), 09:47, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можно, но это будет неудобно использовать. И подавляющая часть пользователей выбирает удобство, а не безопасность.
     
     
  • 3.44, пох (?), 09:54, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно, но это будет неудобно использовать.

    это будет вообще никак неможно использовать - кто вам сказал что пользователю разрешено ставить какой-то еще "openvpn" на то, с чего он пользуется? (кстати, оно по сей день требует админа чтобы настроить маршрутизацию, или все же научилось как-то само?)

    > И подавляющая часть пользователей выбирает удобство,
    > а не безопасность.

    openvpn - та еще "безопастность", поскольку базируется на насквозь гнилой openssl, да и написан довольно странными людьми.
    (и для пользователя, что характерно, тоже - а следить за ними некому обычно)
    одна видимость безопасности, да и та за счет эффекта неуловимого джо.

     
     
  • 4.47, ryoken (ok), 10:09, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > openvpn - та еще "безопастность", поскольку базируется на насквозь гнилой openssl, да
    > и написан довольно странными людьми.
    > (и для пользователя, что характерно, тоже - а следить за ними некому
    > обычно)
    > одна видимость безопасности, да и та за счет эффекта неуловимого джо.

    Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).

     
     
  • 5.48, Аноним (-), 10:17, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).

    ssh умеет l2 туннели, за все время существования не припомню никаких намеков на дыры, но кроссплатформенность так себе.


     
     
  • 6.53, пох (?), 10:40, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ssh умеет l2 туннели, за все время существования не припомню никаких намеков
    > на дыры, но кроссплатформенность так себе.

    что, так опоздали родиться, что и remote root в sshd "не припомните"?
    "так себе" у него производительность (как и у любого tcp-туннеля) - а с кросс-платформенностью все в порядке.

    только вот к юзеру в мухосранск сами поедете туннели настраивать.

     
     
  • 7.64, Аноним (-), 14:02, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > что, так опоздали родиться, что и remote root в sshd "не припомните"?

    Вспомни еще как в 91 останкино штурмовал.

    > "так себе" у него производительность (как и у любого tcp-туннеля) - а
    > с кросс-платформенностью все в порядке.

    Ну покажи хоть один роутер который из каробки умеет, или под андроид что-то приличное

    > только вот к юзеру в мухосранск сами поедете туннели настраивать.

    Чувак, ну предложи что-то получше, а я тебе расскажу куда с этим сходить

     
     
  • 8.74, Аноним (-), 16:53, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поприличней Cisco VPN client, но он закрыт и не бесплатен ... текст свёрнут, показать
     
     
  • 9.99, пох (?), 13:35, 11/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    открытой для linux free альтернативе сто лет в обед, правда, в ней раз в месяц... текст свёрнут, показать
     
  • 5.51, xm (ok), 10:37, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).

    PureVPN в быту давно пользуем
    https://goo.gl/gDqZJM

     
     
  • 6.61, пох (?), 12:59, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).
    > PureVPN в быту давно пользуем

    товарищу вроде не "сервис" в смысле анонимайзер-vpn'а "хренпоймаешь", ему б на собственный сервер ходить так, чтобы не каждый кульхакзор мог потыкать пальчиком, а только те, кому хотя бы ssl-серт выдали.

    или я не понял задачу.

     
     
  • 7.62, ryoken (ok), 13:21, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > товарищу вроде не "сервис" в смысле анонимайзер-vpn'а "хренпоймаешь", ему б на собственный
    > сервер ходить так, чтобы не каждый кульхакзор мог потыкать пальчиком, а
    > только те, кому хотя бы ssl-серт выдали.
    > или я не понял задачу.

    Ходить на домашний роутер с LEDE :D. Ну и с веб-морды пинать через etherwake сундук, чтоб готов был, когда до дому добираюсь. Тут ещё про wirreguard писали, но я про него мало что понял, и не особо понял, есль ли он сейчас в LEDE. А всякий SoftEtherVPN трогать неохота, вроде как оно из вантуза только управляется.

     
     
  • 8.79, пох (?), 20:44, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ssh чем не подходит оно текстовым конфигом управляется, но надо уметь, да Инту... текст свёрнут, показать
     
  • 7.65, xm (ok), 14:02, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > товарищу вроде не "сервис"

    Ну, как я понял, "сервис" имелся ввиду как услуга. Иначе написал бы "сервер" или "протокол". Тем более на этом-то ресурсе.

     
  • 5.52, пох (?), 10:38, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Малость оффтоп, но подскажите вменяемый VPN-сервис? (pptp\l2tp\ipsec не предлагать).

    для не-линуксов на любой из сторон - все ж таки l2tp. (клиенты на винде, сервер на freebsd, где есть нормальный серверный код, если у вас не она - виртуалка помещается в 256m, винду вы в такое не утрамбуете) Почти все горе-операторы связи уже научились его не ломать (потомушта винда, ага), в отличие от pptp/голого ipsec.

    Если не работает - я голосую за ssl-vpn, если нет денег на цискин - значит, имени японой матери.
    Но количество этих юзеров должно быть счетным и их держать на особом контроле.

     
     
  • 6.66, Аноним (-), 14:10, 10/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > для не-линуксов на любой из сторон - все ж таки l2tp. (клиенты
    > на винде, сервер на freebsd, где есть нормальный серверный код, если
    > у вас не она - виртуалка помещается в 256m, винду вы
    > в такое не утрамбуете) Почти все горе-операторы связи уже научились его
    > не ломать (потомушта винда, ага), в отличие от pptp/голого ipsec.

    л2тп, бсд, ахаха, уносите

    > Если не работает - я голосую за ssl-vpn, если нет денег на
    > цискин - значит, имени японой матери.

    ssl, циски, - закoпайте

    > Но количество этих юзеров должно быть счетным и их держать на особом
    > контроле.

    на особом контроле? - святой водой полейте.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру