Массовый взлом Firstvds?

Absolute · 2 Июн 2016

Для просмотра ссылки Войди или Зарегистрируйся, как выяснилось был залит еще по крайней мере на 1200 сайтов. Но вот что удивительно - все они, как и мои сайты расположены на серверах FirstVds.

Собрал часть линков по адресу, с которого шелл брал контент для выдачи: Для просмотра ссылки Войди или Зарегистрируйся (см. исходный код CTRL+U)

Для просмотра ссылки Войди или Зарегистрируйся

В FirstVDS пока молчат (уже 15 часов), но шелл видимо пофиксили везде.

UPD: ан нет, не пофиксили. У ряда сайтов по-прежнему перебрасывает на: Для просмотра ссылки Войди или Зарегистрируйся

lordBlack · 2 Июн 2016

подтверждаю. есть ппц.
ушел чистить.

интересно что за уязвимость

shadowrun · 2 Июн 2016

икнул.. помчал проверять сайты на фирствдс.

вроде все ок.
ПО на серваках и движки регулярно обновлялись

Absolute · 2 Июн 2016

lordBlack, мне эта зараза во все корневые директории сайтов залила cacheutf8.php и заинклудила этот файл в index.php
Судя по дате создания файла - 29 мая в 01:48
Исключение составили только сайты на поддоменах - их почему-то не тронуло.

А FirstVDS продолжают молчать...

lordBlack · 5 Июн 2016

что удалось узнать - взлом по уязвимости оси прошел. обновляйтесь вообщем.

Danphil · 6 Июн 2016

Это случилось на VPSках? они же у них на KVM!?

Absolute · 6 Июн 2016

Danphil написал(а):
Это случилось на VPSках? они же у них на KVM!?

У меня на VPS. При чем здесь тип виртуализации?
Кстати, FirstVDS так и не написали ничего - до сих пор висит статус заявки "На рассмотрении", наверное сами не могут понять в чем дело, а может просто забили.
Сейчас, интереса ради взял произвольно первые 10 попавшихся сайтов, где этот шелл присутствует, - у всех ISP-Manager установлен.

Скрытое содержимое доступно для зарегистрированных пользователей!

и у меня установлен. Возможно, панель подкачала? ...хотя почему тогда только сервера FirstVDS. В общем, не ясно ничего, буду ждать ответа FirstVDS.

Danphil · 6 Июн 2016

Ну так указали на взлом "по уязвимость ос", но KVM обеспечивает вполне приемлемый уровень изоляции. Поэтому и удивился. А вот через ISP-Manager влезть вполне могли.

TrueStory · 6 Июн 2016

Absolute написал(а):
У меня на VPS. При чем здесь тип виртуализации?
Кстати, FirstVDS так и не написали ничего - до сих пор висит статус заявки "На рассмотрении", наверное сами не могут понять в чем дело, а может просто забили.
Сейчас, интереса ради взял произвольно первые 10 попавшихся сайтов, где этот шелл присутствует, - у всех ISP-Manager установлен.
и у меня установлен. Возможно, панель подкачала? ...хотя почему тогда только сервера FirstVDS. В общем, не ясно ничего, буду ждать ответа FirstVDS.

можно адрес где прячут я погляну на своих вообще панелька исп в своем репертуаре уж 5 год )

Absolute · 8 Июн 2016

TrueStory написал(а):
можно адрес где прячут я погляну на своих вообще панелька исп в своем репертуаре уж 5 год )

Простите, какой адрес? я всё написал с чем сам столкнулся.

Danphil написал(а):
Ну так указали на взлом "по уязвимость ос", но KVM обеспечивает вполне приемлемый уровень изоляции.

ИМХО Версия с уязвимость в оси кажется маловероятной. Я рассуждаю так: все берут одни и те же дистрибутивы из одних и тех же репозиториев и если бы была уязвимость в ОС, то с высокой долей вероятности были бы взломаны сервера и других хостеров, а не только FirstVDS. Поправьте, если я не прав.

Еще 217 сайтов к списку.
Для просмотра ссылки Войди или Зарегистрируйся

FirstVDS продолжают молчать.

Массовый взлом Firstvds?

Absolute

Крокодил ;)

lordBlack

Мой дом здесь!

shadowrun

Постоялец

Absolute

Крокодил ;)

lordBlack

Мой дом здесь!

Danphil

Создатель

Absolute

Крокодил ;)

Danphil

Создатель

TrueStory

Бородатый Админчег

Absolute

Крокодил ;)