ВАЖНО Критическая уязвимость и массовые взломы хостинг-панели VestaCP

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 575
Симпатии
110
#1
В web-панели управления хостингом VestaCP, распространяемой под лицензией GPLv3, выявлена критическая уязвимость, позволяющая неаутентифицированному злоумышленнику получить доступ с правами root. Уязвимость устранена в выпуске 0.9.8-20. Всем пользователям VestaCP рекомендуется срочно установить обновление.

Проблема уже активно эксплуатируется c использованием автоматизированной атаки и в сети появились массовые жалобы на поражение серверов, на которых используется хостинг-панель VestaCP. Атакованные виртуальные серверы, как правило, используется для совершения DDoS-атак через направление на жертв большого потока трафика. В качестве одного из способов выявления типового взлома называется проверка на предмет появления файла /etc/cron.hourly/gcc.sh и троянской библиотеки /lib/libudev.so. Для временной защиты от атаки можно отключить панель ("service vesta stop") или закрыть доступ к сетевому порту 8083, который по умолчанию используется в VestaCP для доступа к API и аутентификации.

Судя по внесённым изменениям проблема вызвана передачей поступающих извне аргументов в командой строке без предварительного экранирования символов или возникновением условий, позволяющих манипулировать кодом возврата в shell-скрипте, выполняющем проверку параметров аутентификации. Например, аутентификация организована через вызов shell-скрипта и в коде достаточно много сомнительных мест, в которых ранее записанные в файл аргументы передаются на вход shell-скриптам.

КТО ЕЁ ИСПОЛЬЗУЕТ ОБЯЗАТЕЛЬНО ОБНОВИТЬСЯ, ЕСТЬ У КОГО ИНФА ПО СПЛОИТУ ? :)
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
387
Симпатии
1 156
#4
Зачем вообще эти панели нужны?
У нас когда стояла Веста, очень редко в нее заходила. Может, я чего-то не понимаю...
У меня так-то мало опыта работы с консолью, но тот же бэкап довольно удобно делать через консоль, думаю, это касается и всего остального, заодно и сюрпризов такого рода избежать можно.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 575
Симпатии
110
#5
Зачем вообще эти панели нужны?
Профи не любят панели. Стараются сами настраивать.

Я-же всё-таки за панели, т.к. это упрощает и убыстряет настройку.

Вот например:

У меня панель ISPManager, я быстренько прям из панели установил сервер базы данных, связку apache+nginx, также настроил домены, в т.ч. и SSL.

Далее парой кликов запретил доступ к потенциально уязвимым портам.

Настроил также и автоматические беккапы через webdav, прям на яндекс диск, причём беккапы шифрованные. :)

Также автоматическое обновление всех пакетов тоже настроил.

И ВСЁ ЭТО ПАРОЙ КЛИКОВ, ЧЕРЕЗ ГУЙ. Потратил всего 10-ть минут.

Прикинь всё это делать через консоль, можно конечно, но время жалко.

Да и лучше ограничивать вход на панели, ssh, ftp по айпишнику.

И ещё такой момент, что многие хостинги отказывают в тех. поддержки, если не будет панели. :)
 
Вверх