US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

Критическое обновление Vesta и новые уязвимости

Критическое обновление Vesta и новые уязвимости

Окт 18, 2018DmitryНовости

В начале октября на официальном форуме поддержки Vesta начали появляться сообщения об очередной волне взломов серверов с установленной и обновленной панелью. Прошло чуть больше недели и наконец появились официальные заявления команды разработчиков с описанием сложившейся ситуации, а также был срочно выпущен новый релиз, включающий важные обновления безопасности.

Давайте попробуем разобраться, что произошло. К сожалению, информация на официальном сайте недостаточно подробная, но определенные выводы можно сделать.

Одним из ключевых источников атаки был модифицированный скрипт инсталляции панели. Разработчики панели признали, что один из серверов инфраструктуры был скомпрометирован и злоумышленники изменили код одного из компонентов дистрибутива. Следуя новомодным практикам, команда Vesta собирает информацию об инсталляциях для статистических целей. Модифицированный хакерами скрипт отправлял в открытом виде пароль администратора. Исходя из этого мы настоятельно рекомендуем незамедлительно сменить пароль пользователей admin и root в том случае, если вы используете Vesta.

Кроме того, были идентифицированы модули, размещенные злоумышленниками на скомпрометированных системах. Следует проверить наличие следующих признаков:

  • Файл /usr/bin/dhcprenew — многофункциональный троянский модуль, который может использовать зараженную систему для организации атак или обеспечения несанкционированного доступа с правами администратора.
  • Запущенный троянский модуль мимикрирует под системный процесс. В списке процессов следует поискать процесс kworker/1:1, он может выглядеть примерно так:
    1
    2
    3
    root      3308  0.0  0.0    272    52 ?        Ss   Sep24   0:00 [kworker/1:1]
    root      3362  0.0  0.1   5596  1296 ?        Ss   Sep24   0:09 [kworker/1:1]
    root      3363  0.0  0.0   5248   940 ?        S    Sep24   0:12  \_ [kworker/1:1]

Если один из этих признаков присутствует, следует незамедлительно удалить троянские модули, обновить систему и панель, сменить пароли и проверить файловую систему на другие признаки заражения.

Ниже — официальный список изменений в bugfix-релизе Vesta. Обязательно следует установить эту версию.

1
2
3
4
5
6
7
8
Release notes for 0.9.8-23
- Security fix for timing attack on password reset. Thanks to https://arcturussecurity.com
- Security fix for v-open-fs-config. Its visibility is limited to /etc and /var/lib directories
- Security check for/usr/bin/dhcprenew binary. If found checker notifies server administrator
- Security improvement for sudo. It is now limited to vesta scripts only and doesn't allow admin to execute any other command
- Security improvement: admin password and database passwords are generated individually
- Security improvement: new installer doesn't use c.vestacp.com as source for the configuration files. Configs are bundled inside vesta package
- Security improvement: installer doesn't send any information to vestacp.com after successful installation. It used to send distro name for usage statistics.

Tags: security
Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

  • Новая уязвимость в Vesta?

  • Возможная уязвимость в Vesta и способ лечения от Trojan.DDoS_XOR

← SYSADMINDAY2018 — поздравляем сисадминов!
ITLDC — участник точки обмена трафиком SPEED-IX →

Recent Posts

  • ITLDC News — December 2022
    ITLDC News — December 2022

    We did not publish updates for November...

  • Let’s start our biggest SALE!
    Let’s start our biggest SALE!

    We will not complicate and publish some...

  • ITLDC News — October 2022
    ITLDC News — October 2022

    It's time to make a brief report on what...

  • Price adjustments for selected services
    Price adjustments for selected services

    Since the autumn of last year, the price...

  • Support for our friends and colleagues in Ukraine
    Support for our friends and colleagues in Ukraine

    Dear friends and colleagues from Ukraine...

  • Новый датацентр — UA2.IEV: Kyiv, Ukraine!
    Новый датацентр — UA2.IEV: Kyiv, Ukraine!

    Мы продолжаем увеличивать количество наш...

  • CyberMonday — продолжаем марафон скидок!
    CyberMonday — продолжаем марафон скидок!

    Черная Пятница прошла, но не будем остан...

  • Black Friday 2021 — скидки до 50% на все SSD VDS!
    Black Friday 2021 — скидки до 50% на все SSD VDS!

    Черная Пятница официально началась! На п...

EU Support

ITLDC EU Team

PO Box #201
Burgas
Burgas reg. 8000
Bulgaria

+1 561 2500001

[email protected]

US/APAC Support

ITLDC NOAM Team

PO Box 800054
Aventura
FL, 33280
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.