Уважаемый клиент, в последнее время у полюбившейся многим бесплатной панели управления VESTA, было найдено несколько критических уязвимостей. Несмотря на то, что разработчики достаточно оперативно исправляли проблемы, некоторые пользователи все же пострадали. Заботясь о безопасности наших клиентов, мы приняли решение изменить стандартный порт панели управления с 8083 на 19093. Таким образом, если ранее ваша панель была доступна по адресу 130.140.150.160:8083, то теперь ваша панель доступна по адресу 130.140.150.160:19093

Если у вас по каким-то причинам панель управления продолжает работать по порту 8083 и вы хотите его сменить, либо у вас возникли другие проблемы в работе сервера или панели управления, то, пожалуйста, создайте тикет в службу технической поддержки.

С уважением, Friendhosting.net

Большинство серверов с панелью VestaCP могут быть взломаны. Уязвимость обнаружена недавно, критическая и требует оперативных действий от владельцев серверов, которые ее используют. Пожалуйста сообщите нам если используете данную панель управления.

Признаки взлома примерно такие:

• Наличие файла /etc/cron.hourly/gcc.sh (возможно стоит проверить cron в принципе).
• Наличие файла /usr/lib/libudev.so (возможно libudev.so.6, возможно в другом каталоге).
• Аномально высокое значение исходящего с сервера трафика.

Исправления уязвимости в Vesta-CP
Вы можете это сделать тремя способами:

1. При помощи веб-интерфейса

• Войдите под учетной записью admin
• Перейдите на вкладку Обновления
• Нажмите на кнопку обновить под пакетами vesta

2. Пакетный менеджер

• Подключитесь к серверу при помощи SSH под root пользователем
• выполните в зависимости от вашей ОС: yum update / apt-get update && apt-get upgrade

3. При помощи Github

• Подключитесь к серверу при помощи SSH под root пользователем
• установите пакет гита: yum install git / apt-get install git
• Выполните команды после установки:

CODE: SELECT ALL
cd $(mktemp -d)
git clone git://github.com/serghey-rodin/vesta.git
/bin/cp -rf vesta/* /usr/local/vesta/

Пожалуйста, обновитесь как можно быстрей, для закрытия уязвимости.
Следите за актуальной информацией на официальном форуме VestaCP
forum.vestacp.com/viewtopic.php?f=28&t=16555

В случае возникновения вопросов — обращайтесь. Постараемся посодействовать в администрировании.

С уважением,
Команда FirstByte

Доводим до Вашего сведения, что недавняя уязвимость в VestaCP, посредством которой злоумышленники могли получить доступ к серверу, устранена официальным обновлением (0.9.8-20).

Установить обновление можно командой в SSH оболочке от имени root:

v-update-sys-vesta-all

Так же рекомендуем проверить систему на предмет взлома, инструкция по ссылке: clite.ru/articles/linux/centos/removal-malware-xor-ddos-on-the-linux-server/

Желаем удачной работы.

Приветствую, хотели бы уведомить Вас о том, что в результате уязвимости панели VestaCP, бесплатной панели управления, 27 пользователей сгенерировали трафика за сутки более, чем на 10 ТБ каждый (при пропускной способности канала в 1 Гбит / с), в основном это пользователи облачных VPS, таким пользователям будут выставлены счета за превышения трафика из расссчёта $20 за ТБ превышения, в случае, если дата-центр не пойдёт нам на встречу и посчитает трафик не по полному ($75 за ТБ, а по сниженному тарифу в $20 за ТБ). В данный момент услуги таких пользователей остановлены.

В который раз мы презываем всех подключать услугу сопровождения, чтоб избежать подобных проблем: ua-hosting.company/services/outsourcing
Её стоимость может быть снижена в 2 раза, если подключать услугу на постоянной основе, всего лишь $10 / месяц могут обеспечить Вам здоровый сон и отсутствия риска оплачивать превышение.

А также, не жалейте денег на платные панели управления типа ISP Manager 5, которую со многими серверами, в том числе виртуальными, мы предлагаем бесплатно, и для которых первышение трафика стоит всего лишь 1.5 доллара за ТБ, а не 20:

• VPS (KVM) — E5-2650 v4 (6 Cores) / 10GB DDR4 / 240GB SSD / 1Gbps 10TB — $29 / month
• VPS (KVM) — E5-2650 v4 (12 Cores) / 20GB DDR4 / 2 х 240GB RAID1 SSD / 1Gbps 20TB — $49 / month
• VPS (KVM) — E5-2650 v4 (24 Cores) / 40GB DDR4 / 4 x 240GB RAID10 SSD / 1Gbps 40TB — $99 / month
• VPS (KVM) — E5-2650 v4 (12 Cores) / 20GB DDR4 /480GB SSD / 1Gbps 20TB — $49 / month
• VPS (KVM) — E5-2650 v4 (24 Cores) / 40GB DDR4 / 2 x 480GB RAID1 SSD / 1Gbps 40TB — $99 / month
• VPS (KVM) — E5-2650 v4 (6 Cores) / 10GB DDR4 / 4TB HDD / 1Gbps 10TB — $29 / month
• VPS (KVM) — E5-2650 v4 (12 Cores) / 20GB DDR4 / 2 x 4TB RAID1 HDD / 1Gbps 20TB — $49 / month
• VPS (KVM) — E5-2650 v4 (24 Cores) / 40GB DDR4 / 4 x 4TB RAID10 HDD / 1Gbps 40TB — $99 / month

Заказать эти виртуальные серверы можно здесь: ua-hosting.company/vpsnl

О самой уязвимости и способах её решения Вы можете узнать здесь: forum.vestacp.com/viewtopic.php?f=25&p=69296#p69296

Если Вам нужна помощь наших администраторов — не стесняйтесь заказывать сопровождение.

Друзья, коллеги, после изучения фактов взлома наших клиентов мы обнаружили, что взлом происходил через панель управления VestaCP, фиксов на данный момент нет, поэтому рекомендуем срочно отключить панель (service vesta stop) или заблокировать доступ к панели iptables -I INPUT -p tcp --dport 8083 -j DROP
Серверы ломают и устанавливают скрипты для DDoS атак, тем самым перегружают сетевую инфраструктуру.

На форуме VestaCP уже есть большой топик о данной проблеме forum.vestacp.com/viewtopic.php?f=10&t=16556

После изучения фактов взлома наших клиентов мы обнаружили, что взлом происходил через панель управления VestaCP, фиксов на данный момент нет, поэтому рекомендуем срочно отключить панель (service vesta stop) или заблокировать доступ к панели iptables -I INPUT -p tcp --dport 8083 -j DROP
Серверы ломают и устанавливают скрипты для DDoS атак, тем самым перегружают сетевую инфраструктуру.

На форуме VestaCP уже есть большой топик о данной проблеме forum.vestacp.com/viewtopic.php?f=10&t=16556

Ввиду критической уязвимости серверов с панелью управления VestaCP и не только рекомендуем вам проверить ваш сервер на наличие трояна XOR.DDoS
Мы зафиксировали большой всплеск заражения на наших серверах. Проверить и устранить проблему можно данным спосбом blog.amet13.name/2015/05/linux.html

Подробнее на официальном форуме панели forum.vestacp.com/viewtopic.php?f=10&t=16556, а так же в сети ситуация получила большой резонанс.

С уважением команда cloud4box.com

В панели управления Vesta CP обнаружена уязвимость, которую активно используют злоумышленники для проведения исходящих DDOS атак.
Если Вы используете данную панель, настоятельно рекомендуем Вам проверить Ваш сервер на предмет взлома, а так же ограничить доступ к панели только с Ваших подсетей ip адресов.
Подробнее о данной проблеме можете прочитать на официальном форуме Vesta CP: forum.vestacp.com/viewtopic.php?f=10&t=16556
Как проверить наличие трояна XOR.DDoS и удалить его под CentOS, смотрите например здесь: clite.ru/articles/linux/centos/removal-malware-xor-ddos-on-the-linux-server/

P.S. Обратите внимание, что все взломанные в данный момент серверы клиентов находятся под шейпером и для них ограничена входящая и исходящая скорость порта.

С уважением,
Администрация MGNHost.ru

Уважаемый клиент!

Доводим до Вашего сведения, что в последнее время участились случаи взлома серверов за счет уязвимости в панели VestaCP. Среди зарегистрированных нами случаев, взломщики чаще всего устанавливают ПО с троянским доступом для проведения DDoS атак, но так же вполне вероятны любые сценарии. Официальное обновление исправляющее уязвимость панели пока не было выпущено разработчиком панели. Поэтому на данный момент, мы рекомендуем принять меры по предотвращению взлома, а так же укажем как исправить проблему, если взлом все-таки произошел и как это определить.

Пока не вышло официальное обновление панели, закрывающее эту уязвимость, мы рекомендуем отключить интерфейс управления панели, или ограничить доступ к нему с конкретных IP адресов. Отключить интерфейс управления можно командой в SSH консоли:
service vesta stop
или:
iptables -I INPUT -p tcp --dport 8083 -j DROP

Если первый способ не подходит и нужен доступ, то желательно выставить ограничение в фаерволе, сделать это можно так же через SSH, командами:
iptables -I INPUT -p tcp --dport 8083 -s 11.22.33.44 -j ACCEPT
iptables -I INPUT 2 -p tcp --dport 8083 -j DROP

Первую строчку можно повторить с разными IP адресами, если нужен доступ с нескольких.

Проверить факт взлома можно выполнив следующую команду в консоли сервера:
ls /etc/cron.hourly/gcc.sh > /dev/null 2>&1; if [ "$?" == "0" ]; then echo "Взломан"; else echo "Не взломан"; fi

Эта команда ответит "Взломан" сервер или "Не взломан".

Далее предлагаем ознакомиться с руководством о том, как устранить последствия взлома, если он произошел, по этой сслыке: itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/

Спасибо за внимание.