Comments 29
Хм… А я знаю, как ещё используется уязвимость — на взломанных сайтах размещается зловред для шифрования файлов. Знаю потому, что расшифровывал скрипты из писем, что мне сотрудники слали на анализ — было подозрительно, что на многих сайтах используется именно панель ISPmanager.
Хотел написать в техподдержку по этому поводу, но было стыдно — на первой расшифрованной ссылке на сайт я перепутал панель с хостером и писал как хостеру. Кто же знал-то…
Хотел написать в техподдержку по этому поводу, но было стыдно — на первой расшифрованной ссылке на сайт я перепутал панель с хостером и писал как хостеру. Кто же знал-то…
https://forum.antichat.ru/threads/442020/
А как узнать, скомпрометирован ли мой VPS? У меня пароль рута в ISPManager'е не соответствует реальному и страницы в большинстве своём генерируются программой на C++, поэтому вряд ли его затронули, но всё же.
Добавил в статью
Я бы ещё на всякий случай проверил «оригинальность» файлов и конфигов системы. Под debian, например, это утилита debsums.
rpm -aV для Центоса
> Я бы ещё на всякий случай проверил «оригинальность» файлов и конфигов системы. Под debian, например, это утилита debsums.
с учетом — «на уровне супер-пользователя.», это практически бессмысленное занятие, имхо. Разве что загружаться со стороннего livecd и там производить проверку
с учетом — «на уровне супер-пользователя.», это практически бессмысленное занятие, имхо. Разве что загружаться со стороннего livecd и там производить проверку
Я всего лишь подсказал инструмент, а откуда им пользоваться — выбор администратора
Ну это важный момент в подобных ситуациях, и я считаю, что его стоит упоминать, так как не все об этом знают.
Где то была статья на хабре, не могу сейчас найти, тоже взломали сервер (получили рута), но там сразу половину системных утилит подменили на свои, так что проверка всяких md5 ничего аномального не показывала.
Где то была статья на хабре, не могу сейчас найти, тоже взломали сервер (получили рута), но там сразу половину системных утилит подменили на свои, так что проверка всяких md5 ничего аномального не показывала.
А как можно запустить VPS с livecd?
На последней версии ISPmanager 4.4.10.29
Последняя же уже 5 версии?
del — ошиблась веткой
Интересно, где взяли версию ISPmanager 4.3? Она вышла 2 октября 2007 года
http://web.archive.org/web/20071011145112/http://ispsystem.com/en/support/changelog/ispmgr.html
Просто если использовать столь старые системы (наверное FreeBSD 4 это?), так там уязвимостей хватит и без панели управления. Надо все же стремиться использовать актуальное программное обеспечение
http://web.archive.org/web/20071011145112/http://ispsystem.com/en/support/changelog/ispmgr.html
Просто если использовать столь старые системы (наверное FreeBSD 4 это?), так там уязвимостей хватит и без панели управления. Надо все же стремиться использовать актуальное программное обеспечение
а мой аккаунт после 10 лет вообще удалили и восстанавливать не собираются судя по всему.
благо там ничего не было на тот момент.
заметил случайно — понадобилась впс-ка.
благо там ничего не было на тот момент.
заметил случайно — понадобилась впс-ка.
Скажите логин в нашей системе — я проверю.
Такой же, как и здесь. Буду благодарен.
На sales@ висит тикет от меня от 7 сентября.
На sales@ висит тикет от меня от 7 сентября.
Проблема решилась благодаря CrashCrash, спасибо большое!
Я из FirstVDS.
Прочитав этот пост, мы изучили эту проблему с cli.php:
1. Взламывают через уязвимости в операционных системах, через CMS, и прочий устаревший серверный софт. Вариант с ISPmanager — не самый часто встречающийся.
2. Существуют серверы, которые заражены ещё в 2006 году. Так как сайты продолжают работать, то клиенты ничего не замечают. Мы ранее сталкивались с подобным случаем продвижения казино “Вулкан”и делали рассылки о необходимости обновления ПО пострадавшим. К сожалению, зачастую, наши клиенты к ним не прислушиваются.
Обычно мы не работаем на серверах клиентов без их ведома.
Но сегодня проверили, какие версии ISPmanager 4 установлены у наших клиентов, и обновили их до последней в 4 ветке. — 4.4.10.29. В этой версии проблемы нет.
Прочитав этот пост, мы изучили эту проблему с cli.php:
1. Взламывают через уязвимости в операционных системах, через CMS, и прочий устаревший серверный софт. Вариант с ISPmanager — не самый часто встречающийся.
2. Существуют серверы, которые заражены ещё в 2006 году. Так как сайты продолжают работать, то клиенты ничего не замечают. Мы ранее сталкивались с подобным случаем продвижения казино “Вулкан”и делали рассылки о необходимости обновления ПО пострадавшим. К сожалению, зачастую, наши клиенты к ним не прислушиваются.
Обычно мы не работаем на серверах клиентов без их ведома.
Но сегодня проверили, какие версии ISPmanager 4 установлены у наших клиентов, и обновили их до последней в 4 ветке. — 4.4.10.29. В этой версии проблемы нет.
О ужас-то какой! Взломали! Совершенно естественно, что когда обнесли не замкнутую тобой съёмную квартиру, то надо срочно бежать жаловаться на владельца этой квартиры, валить и арендовать другую. Но боюсь, что если ты и на новом месте не закроешь дверь на замок, то тебя ждёт тот же результат.
Срочно бежим искать уязвимости в Windows 98! По-любому там незакрыто.
Срочно бежим искать уязвимости в Windows 98! По-любому там незакрыто.
UPD
Быстро проверить свой сайт возможно запросив главную страницу с параметром ?page=check
Например:
http://bystry-kredit-nalichnimi-tver.ru/
http://bystry-kredit-nalichnimi-tver.ru/?page=check
Не понял в чем проверка, поясните пожалуйста
Быстро проверить свой сайт возможно запросив главную страницу с параметром ?page=check
Например:
http://bystry-kredit-nalichnimi-tver.ru/
http://bystry-kredit-nalichnimi-tver.ru/?page=check
Не понял в чем проверка, поясните пожалуйста
Sign up to leave a comment.
Массовый взлом FirstVDS