Массовый взлом VestaCP

[Lord_Alfred]

Пруфы:
https://forum.vestacp.com/viewtopic.php?f=28&t=16555
https://forum.vestacp.com/viewtopic.php?f=10&t=16556


Всем, кто имеет данную панель советуют пока что вырубить её:
https://forum.vestacp.com/viewtopic.php?f=10&t=16556&start=30#p68554

service vesta stop

Прочекать на вирусы:
https://losst.ru/kak-ustanovit-antivirus-clamav-v-ubuntu

clamscan -ri --remove=yes /usr
clamscan -r /

И на всякий случай слить бекапы (создаются в /backup).


Судя по всему заливают вирус, который запускает DDoS - по исходящему с сервера трафику это палится.

 

[orka13]

у меня на VestaCP + Centos7 крутится 15 мелких серваков\VPS в нескольких хостинг-компаниях. покликал по графикам, не вижу пока нигде особой сетевой активности.

 

[Lord_Alfred]

у меня на VestaCP + Centos7 крутится 15 мелких серваков\VPS в нескольких хостинг-компаниях. покликал по графикам, не вижу пока нигде особой сетевой активности.

Тоже не увидел активности, но это и хорошо - значит ещё не затроянили. Или хостер уже побанил сетки, на которые идет трафик или адреса, с которых это всё управляется. Я писал в itldc - они в курсе о проблеме и сказали, что побанили управляющие адреса у себя.
Но вот это не дает гарантии, что завтра не дойдут сканированием ip адресов до тебя или меня и не закинут вирус. Так что лучше перебдеть и вырубить весту пока нет фикса.

 

[Шива]

у меня на VestaCP + Centos7 крутится 15 мелких серваков\VPS в нескольких хостинг-компаниях. покликал по графикам, не вижу пока нигде особой сетевой активности.

Потому что никто не пишет конкретную версию панели.
Что бы понимать стоит ли боятся.
Мне так один клиент писал которому я сетки сайтов делал.
Что типа вот все взломали давай чини и не слова о бабле.
А потом оказывается что ему что то там не понравилось на сайтах.
И он решил свою древную сборку с кучей лютого древнего говна.

 

[Mikhail B.]

Слушайте ребят, а если у меня кейтара на весте стоит, и я сделаю бекап из весты. То потом все будет корректно работать на том же ипе?
т.е. Есть смысл делать для тдс?

 

[backoff]

ну по идее - да, все должно работать нормально

 

[nole]

Инферно прислали предупреждение, может кому-то пригодится:
Для отключения панели вы можете написать в SSH консоли команду

service vesta stop

либо заблокировать порт 8083 через фаервол командой

iptables -I INPUT -p tcp --dport 8083 -j DROP

Проверить факт взлома можно выполнив команду в SSH консоли:

ls /etc/cron.hourly/gcc.sh

 

[Mikhail B.]

А где его делать то?) (бекап)

 

[Lord_Alfred]

А где его делать то?) (бекап)

И на всякий случай слить бекапы (создаются в /backup).

 

[Mikhail B.]

@Lord_Alfred
Отключены что ли? Поиск нашел, только это.

 

[Lord_Alfred]

Отключены что ли? Поиск нашел, только это.

В корне диска посмотри. Если нету - значит да, как-то отключены были - тут уже к тебе вопрос зачем это было сделано )

 

[Mikhail B.]

В корне диска посмотри. Если нету - значит да, как-то отключены были - тут уже к тебе вопрос зачем это было сделано )

Да я ниче не делал, так сразу было)) Ладно, положимся на авось прокатит и так

 

[Astraport]

Полез на свою Весту. Не авторизует и пишет NO LANGUAGE DEFINED
Хостер проявил инициативу?

 

[nole]

Полез на свою Весту. Не авторизует и пишет NO LANGUAGE DEFINED
Хостер проявил инициативу?

скорее всего бэкапы заняли все свободное место, зайди с консоли удали, недавно с таким сталкивался

 

[Astraport]

скорее всего бэкапы заняли все свободное место, зайди с консоли удали, недавно с таким сталкивался

А в каких папках у неё бэкапы?

UPDATE Спасибо помогло.

 

[orka13]

Слушайте ребят, а если у меня кейтара на весте стоит, и я сделаю бекап из весты. То потом все будет корректно работать на том же ипе?
т.е. Есть смысл делать для тдс?

Я так тоже раньше держал связку Кейтаро + Веста. Но последние версии кейтаро стало возможно ставить на чистую Centos без панелей. Она саме себе все необходимое для поднятие Веб-сервера скачает. И заодно оптимизирует нужные компоненты исходя из ресурсов CPU\RAM. Я чисто ради этого переустановил ОС недавно. Кампаний правда у меня не много, вручную восстанавливал.

 

[Mikhail B.]

Я так тоже раньше держал связку Кейтаро + Веста. Но последние версии кейтаро стало возможно ставить на чистую Centos без панелей. Она саме себе все необходимое для поднятие Веб-сервера скачает. И заодно оптимизирует нужные компоненты исходя из ресурсов CPU\RAM. Я чисто ради этого переустановил ОС недавно. Кампаний правда у меня не много, вручную восстанавливал.

Я пока не перешел на 9. Они так все меняют сильно между версиями, что потом сидишь думаешь: А как компанию то создать?))

 

[aleksfid]

Хакнули всех.....

 

[Lord_Alfred]

Фикс прилетел (я ещё не тестил): https://forum.vestacp.com/viewtopic.php?f=25&p=68895#p68895