Массовый взлом Firstvds?

FirstVDS · 16 Июн 2016

Уважаемые, здравствуйте. Действительно, факт относительно массового взлома серверов имел место быть, но каких-то общих факторов среди всех взломанных серверов не наблюдалось: разные ядра, операционные системы, внутрисерверное по, версии панели управления или полное ее отсутствие. Наиболее вероятной причиной являются устаревшие версии CMS, установленных на этих серверах - были взломаны старые версии (в частности, nulled) 1С-Битрикс, а также Joomla и Wordpress. Все сайты взломаны в разное время, кто-то обращал внимание своевременно, кто-то нет. На вопрос о том, почему же лишь FirstVDS, можно ответить просто: злоумышленники специально сканировали наши сети и/или домены, расположенные на наших NS. Вариант с уязвимостью панели ISPmanager мы тоже рассматриваем, но пока никаких подтверждений этой версии мы не нашли.

CodeNull · 16 Июн 2016

FirstVDS написал(а):
Наиболее вероятной причиной являются устаревшие версии CMS, установленных на этих серверах - были взломаны старые версии (в частности, nulled) 1С-Битрикс, а также Joomla и Wordpress. Все сайты взломаны в разное время, кто-то обращал внимание своевременно, кто-то нет. На вопрос о том, почему же лишь FirstVDS, можно ответить просто: злоумышленники специально сканировали наши сети и/или домены, расположенные на наших NS. Вариант с уязвимостью панели ISPmanager мы тоже рассматриваем, но пока никаких подтверждений этой версии мы не нашли.

Добавьте до кучи Drupal, который был установлен на моём сайте. Звучит сомнительно, что все ресурсы, с разными ОС, CMS и окружением в целом, были взломаны по "старым" уязвимостям.

Кроме того, во всех ОС удалось поднять привилегии, которые позволили изменить файлы принадлежащие разным пользователям.

На моём ВПС были модифицированы только index.php в корне площадок доступных из web, отключенные площадки и просто папки в которых был такой файл, не затронуты.

Файл cache8utf.php отсутствовал, хотя инклуд ссылающийся на него был. Либо ваши специалисты удалили cache8utf.php, либо скрипт злоумышленника, по каким-то причинам, не смог его создать.

Все взломанные ресурсы объединяет одно - они хостятсся на FirstVDS и используют ISPmanager.

Absolute · 16 Июн 2016

FirstVDS написал(а):
Наиболее вероятной причиной являются устаревшие версии CMS, установленных на этих серверах - были взломаны старые версии (в частности, nulled) 1С-Битрикс, а также Joomla и Wordpress.

У меня PrestaShop и Opencart - других систем не стояло. Из вашего ответа можно сделать простой вывод - существует уязвимость, о которой до сих пор ничего неизвестно, кроме общих объединяющих факторов (FirstVDS и ISPmanager) и которой хакер вероятно пожелает воспользоваться вновь. А из этого может вытекать только одно - чтобы избежать проблем в дальнейшем придется отказаться от FirstVDS и ISPmanager.

FirstVDS · 17 Июн 2016

Absolute написал(а):
У меня PrestaShop и Opencart - других систем не стояло. Из вашего ответа можно сделать простой вывод - существует уязвимость, о которой до сих пор ничего неизвестно, кроме общих объединяющих факторов (FirstVDS и ISPmanager) и которой хакер вероятно пожелает воспользоваться вновь. А из этого может вытекать только одно - чтобы избежать проблем в дальнейшем придется отказаться от FirstVDS и ISPmanager.

Понимаю вашу позицию, тем не менее, не проще ли обновить ПО на сервере?

На данный момент мы еще рассматриваем вариант ISPmanager, тем не менее, пока что найти какую-либо связь не удалось.

latteo · 21 Сен 2016

FirstVDS написал(а):
Понимаю вашу позицию, тем не менее, не проще ли обновить ПО на сервере? На данный момент мы еще рассматриваем вариант ISPmanager, тем не менее, пока что найти какую-либо связь не удалось.

На хабре опубликовали уязвимость ISPmanager, через которую может происходить взлом - Для просмотра ссылки Войди или Зарегистрируйся

CodeNull · 22 Сен 2016

Прочитал статью, в конце указан способ как проверить на факт взлома. Он сработал.

Судя по всему, либо технические специалисты хостера некомпетентны, либо никто даже не проверял способ взлома перечисленных здесь сайтов. Решение одно - скорейшая миграция к другому хостеру.

FirstVDS · 22 Сен 2016

CodeNull написал(а):
Прочитал статью, в конце указан способ как проверить на факт взлома. Он сработал.

Судя по всему, либо технические специалисты хостера некомпетентны, либо никто даже не проверял способ взлома перечисленных здесь сайтов. Решение одно - скорейшая миграция к другому хостеру.

Основное решение проблемы - своевременное обновление программного обеспечения. Не думаю, что стоит так эмоционально говорить о нашей компетентности. Мы реагируем на все уведомления о проблемах безопасности, но, в случае с обновлением клиентского ПО, мы не можем предпринимать никаких действий без решения клиента. Факты взлома выявлены и пользователи уведомлены, но отказ от обновления влечет за собой повторное заражение.

Уличный смотритель · 20 Дек 2017

А на firstdedic кто знает? Это они же, только по ветке выделенных серверов.. Есть там эта уязвимость тоже в сборках?

FirstVDS · 21 Дек 2017

Уличный смотритель написал(а):
А на firstdedic кто знает? Это они же, только по ветке выделенных серверов.. Есть там эта уязвимость тоже в сборках?

Эту уязвимость исправили уже какое-то время как. Во все сборки устанавливается последняя версия прямо из stable-репозитория.

Массовый взлом Firstvds?

FirstVDS

Создатель

CodeNull

Писатель

Absolute

Крокодил ;)

FirstVDS

Создатель

latteo

Эффективное использование PHP, MySQL

CodeNull

Писатель

FirstVDS

Создатель

Уличный смотритель

Писатель

FirstVDS

Создатель