Массовый взлом Firstvds?

[TrueStory]

интересовал путь где шелку лежит, возьмите просканьте порты с 5 панелькой они себе бекдор оставляют.

 

[CodeNull]

Всем привет.
Стал искать в сети информацию по внедренному, на сайты, коду и нашел данное обсуждение.
Хостер FirstVDS, за сервером особо не смотрю, на нем болтается 1 проект, но пришло письмо от партнерской системы, что прекратились показы. Полез смотреть в чем дело и увидел в index.php кривой инклуд который приводил сайт в нерабочее состояние. Инклуд ссылался на файл cacheutf8.php

Самое интересно, что самого заинклуденного файла не было. Создалось впечатление, что хостер в автоматическом режиме почистил внедренный файл и при этом сломал сайт. Тех поддержка отбрехивается тем, что о таком ничего незнают и предлагают платную услугу по чистке сайтов от вирусов

Сервер крутится под FreeBSD.

 

[Absolute]

4 дня назад написал повторно в FirstVDS - молчат. На многих сайтах до сих пор этот шелл, через который можно залить что угодно. Делаем выводы о конторе с названием FirstVDS.
Об этом взломе также Для просмотра ссылки Войди или Зарегистрируйся, зарегистрированная в Архангельске. Как они правильно пишут, есть в каком-то смысле и положительный момент - у некоторых сайтов ТИЦ взлетел с 20...30 до 600 и более.
Больше никаких новостей пока нет.
Благодарю тех, кто столкнулся с уязвимостью и отписывается здесь, а также тех, кто делится своими мыслями.

интересовал путь где шелку лежит

Не ленитесь, пожалуйста, читать. Файл кладется в корень: /cacheutf8.php

 

[CodeNull]

Известно на каких ОС работают взломанные ВПС?

 

[Absolute]

Известно на каких ОС работают взломанные ВПС?

Не известно. Как посмотреть? Nmap'ом? У меня Debian-8.
У вас ISPManager установлен?

 

[CodeNull]

ISPManager установлен.

nmap -O site.com

Должен показать ОС.

 

[Absolute]

nmap отдельно инсталить не стал. Прошелся Netcraft Site Report произвольно:

82.146.59.62 Linux Apache/2.4.6 CentOS mpm-itk/2.4.7-01 OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

62.109.17.149 Linux Apache/2.2.16 Debian PHP/5.4.45-1dotdeb6.1 mod_ssl/2.2.16 OpenSSL/0.9.8o

62.109.11.50 Linux Apache/2.4.6 CentOS mpm-itk/2.4.7-01 OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

188.120.225.30    Linux    Apache/2.4.7 Ubuntu

62.109.9.74 Linux  nginx/1.8.0

62.109.19.122 Linux Apache/2.2.22 Debian

62.109.17.146 FreeBSD nginx/1.4.2

188.120.237.68 Linux Apache/2.2.22 Debian

188.120.255.216 Linux Apache/2.4.10 Debian

62.109.12.236 Linux Apache/2.4.6 CentOS mpm-itk/2.4.7-01 OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

188.120.227.213 Linux  Apache/2.4.10 Debian

94.250.255.67 Linux Apache/2.4.10 Debian

62.109.16.103 Linux Apache/2.4.6 CentOS OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

94.250.248.220 Linux Apache/2.2.15 CentOS

212.109.194.41    Linux    nginx/1.10.1

78.24.221.17 Linux Apache/2.2.22 Debian

188.120.233.93 Linux Apache/2.4.6 CentOS mpm-itk/2.4.7-01 OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

188.120.231.76 Linux    nginx/0.7.67

92.63.106.208    Linux    Apache/2.4.10 Debian

Из списка выше только у 62.109.17.149 и 188.120.231.76 на 1500 не открылся ISPManager. Но я так понимаю это еще не значит, что ISP панель там не стоит или не стояла?

 

[CodeNull]

Выводы достаточно тривиальные, т.к. конфигурация серверов разная, то информация о проблеме на уровне ОС - липа. Версия об уязвимости в панели звучит гораздо правдоподобней.

 

[Absolute]

Наконец-то поступил долгожданный ответ от FirstVDS:

Здравствуйте, ***

Первичная проверка показала, что на большинстве взломаных хостов используется устаревшее ПО, с известными уязвимостями. В данный момент мы производим сканирование, чтобы обнаружить все взломаные сервера и оповестить их владельцев.

На самом деле многие сервера заражены уже более двух месяцев, и вы первый, кто сообщил нам об этом.

С уважением,
Отдел IT
FirstVDS

 

[zhekaxak]

Наконец-то поступил долгожданный ответ от FirstVDS:

ну да ну да, тысячи хостеров не пострадали от того что клиенты не обновляются, и только их сервера умудрились ломануть по известным уязвимостям... хай дальше сказки сочиняют)