Массовый взлом Firstvds?

Статус
В этой теме нельзя размещать новые ответы.
Уважаемые, здравствуйте. Действительно, факт относительно массового взлома серверов имел место быть, но каких-то общих факторов среди всех взломанных серверов не наблюдалось: разные ядра, операционные системы, внутрисерверное по, версии панели управления или полное ее отсутствие. Наиболее вероятной причиной являются устаревшие версии CMS, установленных на этих серверах - были взломаны старые версии (в частности, nulled) 1С-Битрикс, а также Joomla и Wordpress. Все сайты взломаны в разное время, кто-то обращал внимание своевременно, кто-то нет. На вопрос о том, почему же лишь FirstVDS, можно ответить просто: злоумышленники специально сканировали наши сети и/или домены, расположенные на наших NS. Вариант с уязвимостью панели ISPmanager мы тоже рассматриваем, но пока никаких подтверждений этой версии мы не нашли.
 
Наиболее вероятной причиной являются устаревшие версии CMS, установленных на этих серверах - были взломаны старые версии (в частности, nulled) 1С-Битрикс, а также Joomla и Wordpress. Все сайты взломаны в разное время, кто-то обращал внимание своевременно, кто-то нет. На вопрос о том, почему же лишь FirstVDS, можно ответить просто: злоумышленники специально сканировали наши сети и/или домены, расположенные на наших NS. Вариант с уязвимостью панели ISPmanager мы тоже рассматриваем, но пока никаких подтверждений этой версии мы не нашли.
Добавьте до кучи Drupal, который был установлен на моём сайте. Звучит сомнительно, что все ресурсы, с разными ОС, CMS и окружением в целом, были взломаны по "старым" уязвимостям.

Кроме того, во всех ОС удалось поднять привилегии, которые позволили изменить файлы принадлежащие разным пользователям.

На моём ВПС были модифицированы только index.php в корне площадок доступных из web, отключенные площадки и просто папки в которых был такой файл, не затронуты.

Файл cache8utf.php отсутствовал, хотя инклуд ссылающийся на него был. Либо ваши специалисты удалили cache8utf.php, либо скрипт злоумышленника, по каким-то причинам, не смог его создать.

Все взломанные ресурсы объединяет одно - они хостятсся на FirstVDS и используют ISPmanager.
 
Наиболее вероятной причиной являются устаревшие версии CMS, установленных на этих серверах - были взломаны старые версии (в частности, nulled) 1С-Битрикс, а также Joomla и Wordpress.
У меня PrestaShop и Opencart - других систем не стояло. Из вашего ответа можно сделать простой вывод - существует уязвимость, о которой до сих пор ничего неизвестно, кроме общих объединяющих факторов (FirstVDS и ISPmanager) и которой хакер вероятно пожелает воспользоваться вновь. А из этого может вытекать только одно - чтобы избежать проблем в дальнейшем придется отказаться от FirstVDS и ISPmanager.
 
У меня PrestaShop и Opencart - других систем не стояло. Из вашего ответа можно сделать простой вывод - существует уязвимость, о которой до сих пор ничего неизвестно, кроме общих объединяющих факторов (FirstVDS и ISPmanager) и которой хакер вероятно пожелает воспользоваться вновь. А из этого может вытекать только одно - чтобы избежать проблем в дальнейшем придется отказаться от FirstVDS и ISPmanager.

Понимаю вашу позицию, тем не менее, не проще ли обновить ПО на сервере? :) На данный момент мы еще рассматриваем вариант ISPmanager, тем не менее, пока что найти какую-либо связь не удалось.
 
Понимаю вашу позицию, тем не менее, не проще ли обновить ПО на сервере? :) На данный момент мы еще рассматриваем вариант ISPmanager, тем не менее, пока что найти какую-либо связь не удалось.
На хабре опубликовали уязвимость ISPmanager, через которую может происходить взлом - Для просмотра ссылки Войди или Зарегистрируйся
 
Прочитал статью, в конце указан способ как проверить на факт взлома. Он сработал.

Судя по всему, либо технические специалисты хостера некомпетентны, либо никто даже не проверял способ взлома перечисленных здесь сайтов. Решение одно - скорейшая миграция к другому хостеру.
 
Прочитал статью, в конце указан способ как проверить на факт взлома. Он сработал.

Судя по всему, либо технические специалисты хостера некомпетентны, либо никто даже не проверял способ взлома перечисленных здесь сайтов. Решение одно - скорейшая миграция к другому хостеру.

Основное решение проблемы - своевременное обновление программного обеспечения. Не думаю, что стоит так эмоционально говорить о нашей компетентности. Мы реагируем на все уведомления о проблемах безопасности, но, в случае с обновлением клиентского ПО, мы не можем предпринимать никаких действий без решения клиента. Факты взлома выявлены и пользователи уведомлены, но отказ от обновления влечет за собой повторное заражение.
 
А на firstdedic кто знает? Это они же, только по ветке выделенных серверов.. Есть там эта уязвимость тоже в сборках?
 
А на firstdedic кто знает? Это они же, только по ветке выделенных серверов.. Есть там эта уязвимость тоже в сборках?

Эту уязвимость исправили уже какое-то время как. Во все сборки устанавливается последняя версия прямо из stable-репозитория.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху