https://opennet.ru/openforum/vsluhforumID3/115606.html В установочном скрипте панели управления хостингом VestaCP выявлен (https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=180#p73907) код, выполняющий отправку параметров аутентификации для доступа к системе пользователя. В частности, в штатную систему отправки телеметрии, которая в ответ на внешний запрос осуществляет вывод названия дистрибутива, добавлены дополнительные параметры, выдающие пароль администратора и IP текущего хоста.<br><br><br><br>Индикатором утечки данных является наличие в логе запросов вида "http://vestacp.com/test/?ip=x.x.x.x". Если данная активность наблюдается, то вероятно уже недостаточно просто сменить пароль администратора. После получения параметров доступа, атакующие устанавливали бэкдор, который мог выглядеть как системный файл <br>/usr/bin/dhcprenew, реализующий командный сервер для участия в совершении DoS-атак и предоставляющий скрытый shell. После запуска указанный бэкдор маскируется под видом процесса "[kworker/1:1]".<br><br><br><br>В ходе начального разбора инцидента выяснилось, что код у https://opennet.ru/openforum/vsluhforumID3/115606.html#45 Sun, 21 Oct 2018 05:40:43 GMT Ну разве что CP/M. Да и то...<br> https://opennet.ru/openforum/vsluhforumID3/115606.html#44 Sun, 21 Oct 2018 03:23:16 GMT а CP/M ?<br> https://opennet.ru/openforum/vsluhforumID3/115606.html#42 Sat, 20 Oct 2018 16:39:30 GMT ой, какой ужас, злые соседи...э...какие нахрен соседи, мы что дома ставимся? Злые враги инженеры хостера...э...стоп, а им зачем, они прямо на диск могут записать... э... ну я уж прям не знаю кто - магистральные операторы в терабитах порнухи и котиков разглядели наш невинный curl и подбросили вражеский код, да?<br><br> https://opennet.ru/openforum/vsluhforumID3/115606.html#41 Sat, 20 Oct 2018 16:35:10 GMT &gt; мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))<br><br>на самом деле нам его уже сделал жопорукий аутсорсер, осталось выложить.<br>Он, конечно,предлагает хоститься на его сервере, но, поскольку он его сам настраивал, как умел, тот сервер половину времени не работает, и во всех блоклистах отметился, а еще он на нем немножечко майнит.<br><br> https://opennet.ru/openforum/vsluhforumID3/115606.html#40 Sat, 20 Oct 2018 09:40:56 GMT &gt; Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет <br>&gt; 5 это все никому, кроме пожилых сеошников, не надо.<br><br>Это ты так думаешь. В мире мало того что куча VPS'ок с предустановленной панелью, так еще и куча сайтов на шаред-хостинге, где так же используются эти панели.<br><br>Мы, пожилые сеошники конечно рады, что ты великий гуру можешь купить VPS'ку, задеплоить туда твою Убунтачку, поставить туда LAMP, exim с dovecot'ом, вебмылом и спамассасином, ну и само собой разумеется сгенерить DKIM'ы дабы письмецы не попадали в спам, написать скрипты добавления мыльных аккаунтов и доменов (просто если ты будешь добавлять это вручную - то ты еще фееричнее кретин чем я думал) и все это за 5 баксов - но мы НЕ ТАКИЕ, мы просто хотим сделать сайт-визитку для своей шашлычной на Вордпрессе за полчаса :))<br> https://opennet.ru/openforum/vsluhforumID3/115606.html#39 Sat, 20 Oct 2018 07:46:34 GMT &gt; Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет <br>&gt; 5 это все никому, кроме пожилых сеошников, не надо.<br><br>угу, нет другого интернета кроме вконтактега и мордокнижечки, и товарищ майор пророк ихний.<br><br><br> https://opennet.ru/openforum/vsluhforumID3/115606.html#38 Sat, 20 Oct 2018 03:45:20 GMT есть уже `curl --rootme`<br> https://opennet.ru/openforum/vsluhforumID3/115606.html#37 Sat, 20 Oct 2018 01:03:13 GMT Ой, не напоминайте мне об этих убожествах. Слава яйцам, в последние лет 5 это все никому, кроме пожилых сеошников, не надо.<br> https://opennet.ru/openforum/vsluhforumID3/115606.html#36 Fri, 19 Oct 2018 22:43:01 GMT curl2bash&#8482;<br>