US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

Критическое обновление Vesta и новые уязвимости

Критическое обновление Vesta и новые уязвимости

Окт 18, 2018DmitryНовости

В начале октября на официальном форуме поддержки Vesta начали появляться сообщения об очередной волне взломов серверов с установленной и обновленной панелью. Прошло чуть больше недели и наконец появились официальные заявления команды разработчиков с описанием сложившейся ситуации, а также был срочно выпущен новый релиз, включающий важные обновления безопасности.

Давайте попробуем разобраться, что произошло. К сожалению, информация на официальном сайте недостаточно подробная, но определенные выводы можно сделать.

Одним из ключевых источников атаки был модифицированный скрипт инсталляции панели. Разработчики панели признали, что один из серверов инфраструктуры был скомпрометирован и злоумышленники изменили код одного из компонентов дистрибутива. Следуя новомодным практикам, команда Vesta собирает информацию об инсталляциях для статистических целей. Модифицированный хакерами скрипт отправлял в открытом виде пароль администратора. Исходя из этого мы настоятельно рекомендуем незамедлительно сменить пароль пользователей admin и root в том случае, если вы используете Vesta.

Кроме того, были идентифицированы модули, размещенные злоумышленниками на скомпрометированных системах. Следует проверить наличие следующих признаков:

  • Файл /usr/bin/dhcprenew — многофункциональный троянский модуль, который может использовать зараженную систему для организации атак или обеспечения несанкционированного доступа с правами администратора.
  • Запущенный троянский модуль мимикрирует под системный процесс. В списке процессов следует поискать процесс kworker/1:1, он может выглядеть примерно так:
    1
    2
    3
    root      3308  0.0  0.0    272    52 ?        Ss   Sep24   0:00 [kworker/1:1]
    root      3362  0.0  0.1   5596  1296 ?        Ss   Sep24   0:09 [kworker/1:1]
    root      3363  0.0  0.0   5248   940 ?        S    Sep24   0:12  \_ [kworker/1:1]

Если один из этих признаков присутствует, следует незамедлительно удалить троянские модули, обновить систему и панель, сменить пароли и проверить файловую систему на другие признаки заражения.

Ниже — официальный список изменений в bugfix-релизе Vesta. Обязательно следует установить эту версию.

1
2
3
4
5
6
7
8
Release notes for 0.9.8-23
- Security fix for timing attack on password reset. Thanks to https://arcturussecurity.com
- Security fix for v-open-fs-config. Its visibility is limited to /etc and /var/lib directories
- Security check for/usr/bin/dhcprenew binary. If found checker notifies server administrator
- Security improvement for sudo. It is now limited to vesta scripts only and doesn't allow admin to execute any other command
- Security improvement: admin password and database passwords are generated individually
- Security improvement: new installer doesn't use c.vestacp.com as source for the configuration files. Configs are bundled inside vesta package
- Security improvement: installer doesn't send any information to vestacp.com after successful installation. It used to send distro name for usage statistics.

Tags: security
Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

  • Новая уязвимость в Vesta?

  • Возможная уязвимость в Vesta и способ лечения от Trojan.DDoS_XOR

← SYSADMINDAY2018 — поздравляем сисадминов!
ITLDC — участник точки обмена трафиком SPEED-IX →

Recent Posts

  • Черная Пятница от ITLDC началась:  скидки до 70%!
    Черная Пятница от ITLDC началась: скидки до 70%!

    Несмотря на то, что традиционная Черная...

  • Представляем HD VDS — облачные VDS для хранения данных
    Представляем HD VDS — облачные VDS для хранения данных

    Мы подготовили специальную линейку вирту...

  • Секретная распродажа SSD VDS и серверов!
    Секретная распродажа SSD VDS и серверов!

    Скучаете по распродажам? Не обязательно...

  • Дарим подарки к дню Системного Администратора!
    Дарим подарки к дню Системного Администратора!

    Встречайте 21-й ежегодный день системног...

  • Новый дизайн ISPManager!
    Новый дизайн ISPManager!

    Завтра выходит очередное обновление ISPM...

  • Новая версия FreeBSD 11.4
    Новая версия FreeBSD 11.4

    Спустя 11 месяцев после выпуска 11.3 и 7...

  • SPRING2020: 50% скидки на все SSD VDS!
    SPRING2020: 50% скидки на все SSD VDS!

    Начинаем нашу традиционную весеннюю акци...

  • WireGuard — готовим свой скоростной VPN за минуту!
    WireGuard — готовим свой скоростной VPN за минуту!

    Многие слышали о WireGuard - новом прото...

EU Support

 24/7 Support Team

PO Box #201
Burgas
Burgas reg. 8000
Bulgaria

+1 561 2500001

[email protected]

North America HQ

Green Floid LLC

2707 East Jefferson St
Orlando
Florida, 32803
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.