Массовый взлом Firstvds?

Тема в разделе "Хостинг", создана пользователем Absolute, 2 июн 2016.

  1. FirstVDS

    FirstVDS Создатель

    Регистр.:
    21 мар 2016
    Сообщения:
    10
    Симпатии:
    0
    Уважаемые, здравствуйте. Действительно, факт относительно массового взлома серверов имел место быть, но каких-то общих факторов среди всех взломанных серверов не наблюдалось: разные ядра, операционные системы, внутрисерверное по, версии панели управления или полное ее отсутствие. Наиболее вероятной причиной являются устаревшие версии CMS, установленных на этих серверах - были взломаны старые версии (в частности, nulled) 1С-Битрикс, а также Joomla и Wordpress. Все сайты взломаны в разное время, кто-то обращал внимание своевременно, кто-то нет. На вопрос о том, почему же лишь FirstVDS, можно ответить просто: злоумышленники специально сканировали наши сети и/или домены, расположенные на наших NS. Вариант с уязвимостью панели ISPmanager мы тоже рассматриваем, но пока никаких подтверждений этой версии мы не нашли.
     
  2. CodeNull

    CodeNull Писатель

    Регистр.:
    8 июн 2016
    Сообщения:
    6
    Симпатии:
    2
    Добавьте до кучи Drupal, который был установлен на моём сайте. Звучит сомнительно, что все ресурсы, с разными ОС, CMS и окружением в целом, были взломаны по "старым" уязвимостям.

    Кроме того, во всех ОС удалось поднять привилегии, которые позволили изменить файлы принадлежащие разным пользователям.

    На моём ВПС были модифицированы только index.php в корне площадок доступных из web, отключенные площадки и просто папки в которых был такой файл, не затронуты.

    Файл cache8utf.php отсутствовал, хотя инклуд ссылающийся на него был. Либо ваши специалисты удалили cache8utf.php, либо скрипт злоумышленника, по каким-то причинам, не смог его создать.

    Все взломанные ресурсы объединяет одно - они хостятсся на FirstVDS и используют ISPmanager.
     
  3. Absolute

    Absolute Крокодил ;)

    Регистр.:
    9 авг 2009
    Сообщения:
    515
    Симпатии:
    368
    У меня PrestaShop и Opencart - других систем не стояло. Из вашего ответа можно сделать простой вывод - существует уязвимость, о которой до сих пор ничего неизвестно, кроме общих объединяющих факторов (FirstVDS и ISPmanager) и которой хакер вероятно пожелает воспользоваться вновь. А из этого может вытекать только одно - чтобы избежать проблем в дальнейшем придется отказаться от FirstVDS и ISPmanager.
     
  4. FirstVDS

    FirstVDS Создатель

    Регистр.:
    21 мар 2016
    Сообщения:
    10
    Симпатии:
    0
    Понимаю вашу позицию, тем не менее, не проще ли обновить ПО на сервере? :) На данный момент мы еще рассматриваем вариант ISPmanager, тем не менее, пока что найти какую-либо связь не удалось.
     
  5. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.603
    Симпатии:
    1.524
    На хабре опубликовали уязвимость ISPmanager, через которую может происходить взлом - https://geektimes.ru/post/280688/
     
    Absolute нравится это.
  6. CodeNull

    CodeNull Писатель

    Регистр.:
    8 июн 2016
    Сообщения:
    6
    Симпатии:
    2
    Прочитал статью, в конце указан способ как проверить на факт взлома. Он сработал.

    Судя по всему, либо технические специалисты хостера некомпетентны, либо никто даже не проверял способ взлома перечисленных здесь сайтов. Решение одно - скорейшая миграция к другому хостеру.
     
  7. FirstVDS

    FirstVDS Создатель

    Регистр.:
    21 мар 2016
    Сообщения:
    10
    Симпатии:
    0
    Основное решение проблемы - своевременное обновление программного обеспечения. Не думаю, что стоит так эмоционально говорить о нашей компетентности. Мы реагируем на все уведомления о проблемах безопасности, но, в случае с обновлением клиентского ПО, мы не можем предпринимать никаких действий без решения клиента. Факты взлома выявлены и пользователи уведомлены, но отказ от обновления влечет за собой повторное заражение.
     
  8. Уличный смотритель

    Уличный смотритель Писатель

    Регистр.:
    15 янв 2015
    Сообщения:
    3
    Симпатии:
    0
    А на firstdedic кто знает? Это они же, только по ветке выделенных серверов.. Есть там эта уязвимость тоже в сборках?
     
  9. FirstVDS

    FirstVDS Создатель

    Регистр.:
    21 мар 2016
    Сообщения:
    10
    Симпатии:
    0
    Эту уязвимость исправили уже какое-то время как. Во все сборки устанавливается последняя версия прямо из stable-репозитория.