Официальный репозиторий панели управления для VPS VestaCP некоторое время назад был взломан. Неизвестные злоумышленники внесли изменения в главный скрипт, который выполняет установку панели и вследствие этого, в данных телеметрии, которые отправлялись на сервер проекта после установки панели, содержалось не только имя дистрибутива, но также и пароль администратора, и IP хоста, где была установлена ПУ.
Проверить свой хост на наличие уязвимости можно по ссылке
После успешного получения данных аутентификации злоумышленники устанавливали мультифункциональный бэкдор (командный сервер для совершения DoS атак и скрытый shell), содержащийся в файле /usr/bin/dhcprenew. После загрузки в память этот бэкдор скрывается в списке процессов под именем [kworker/1:1]
По предварительным данным выяснилось, что код удалось изменить в результате взлома некоторых серверов инфраструктуры проекта.
Взлом стал возможен из-за ранее неизвестной уязвимости в API проекта, которая появилась в апрельском выпуске 0.9.8-20.
Всем пользователям настоятельно рекомендуется сменить пароль администратора к панели управления.
Уязвимости уже устранены в новом релизе 0.9.8-23
Дополнительные подробности пока не сообщаются.
Перемещено Shaman007 из security
