• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

ВАЖНО Критическая уязвимость и массовые взломы хостинг-панели VestaCP


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
В web-панели управления хостингом , под лицензией GPLv3, критическая уязвимость, позволяющая неаутентифицированному злоумышленнику получить доступ с правами root. Уязвимость в выпуске . Всем пользователям VestaCP рекомендуется срочно установить обновление.

Проблема уже активно эксплуатируется c использованием автоматизированной атаки и в сети массовые жалобы на поражение серверов, на которых используется хостинг-панель VestaCP. Атакованные виртуальные серверы, как правило, используется для совершения DDoS-атак через направление на жертв большого потока трафика. В качестве одного из способов выявления типового взлома называется проверка на предмет появления файла /etc/cron.hourly/gcc.sh и троянской библиотеки /lib/libudev.so. Для временной защиты от атаки можно отключить панель ("service vesta stop") или закрыть доступ к сетевому порту 8083, который по умолчанию используется в VestaCP для доступа к API и аутентификации.

Судя по проблема вызвана передачей поступающих извне аргументов в командой строке без предварительного экранирования символов или возникновением условий, позволяющих манипулировать кодом возврата в shell-скрипте, выполняющем проверку параметров аутентификации. Например, аутентификация организована через вызов shell-скрипта и в коде достаточно много , в которых ранее записанные в файл аргументы передаются на вход shell-скриптам.

КТО ЕЁ ИСПОЛЬЗУЕТ ОБЯЗАТЕЛЬНО ОБНОВИТЬСЯ, ЕСТЬ У КОГО ИНФА ПО СПЛОИТУ ? :)
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
345
Репутация
430
Зачем вообще эти панели нужны?
У нас когда стояла Веста, очень редко в нее заходила. Может, я чего-то не понимаю...
У меня так-то мало опыта работы с консолью, но тот же бэкап довольно удобно делать через консоль, думаю, это касается и всего остального, заодно и сюрпризов такого рода избежать можно.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Зачем вообще эти панели нужны?
Профи не любят панели. Стараются сами настраивать.

Я-же всё-таки за панели, т.к. это упрощает и убыстряет настройку.

Вот например:

У меня панель ISPManager, я быстренько прям из панели установил сервер базы данных, связку apache+nginx, также настроил домены, в т.ч. и SSL.

Далее парой кликов запретил доступ к потенциально уязвимым портам.

Настроил также и автоматические беккапы через webdav, прям на яндекс диск, причём беккапы шифрованные. :)

Также автоматическое обновление всех пакетов тоже настроил.

И ВСЁ ЭТО ПАРОЙ КЛИКОВ, ЧЕРЕЗ ГУЙ. Потратил всего 10-ть минут.

Прикинь всё это делать через консоль, можно конечно, но время жалко.

Да и лучше ограничивать вход на панели, ssh, ftp по айпишнику.

И ещё такой момент, что многие хостинги отказывают в тех. поддержки, если не будет панели. :)
 
Верх Низ