Массовый взлом Firstvds?

Статус
В этой теме нельзя размещать новые ответы.
интересовал путь где шелку лежит, возьмите просканьте порты с 5 панелькой они себе бекдор оставляют.
 
Всем привет.
Стал искать в сети информацию по внедренному, на сайты, коду и нашел данное обсуждение.
Хостер FirstVDS, за сервером особо не смотрю, на нем болтается 1 проект, но пришло письмо от партнерской системы, что прекратились показы. Полез смотреть в чем дело и увидел в index.php кривой инклуд который приводил сайт в нерабочее состояние. Инклуд ссылался на файл cacheutf8.php

Самое интересно, что самого заинклуденного файла не было. Создалось впечатление, что хостер в автоматическом режиме почистил внедренный файл и при этом сломал сайт. Тех поддержка отбрехивается тем, что о таком ничего незнают и предлагают платную услугу по чистке сайтов от вирусов :)

Сервер крутится под FreeBSD.
 
4 дня назад написал повторно в FirstVDS - молчат. На многих сайтах до сих пор этот шелл, через который можно залить что угодно. Делаем выводы о конторе с названием FirstVDS.
Об этом взломе также Для просмотра ссылки Войди или Зарегистрируйся, зарегистрированная в Архангельске. Как они правильно пишут, есть в каком-то смысле и положительный момент - у некоторых сайтов ТИЦ взлетел с 20...30 до 600 и более.
Больше никаких новостей пока нет.
Благодарю тех, кто столкнулся с уязвимостью и отписывается здесь, а также тех, кто делится своими мыслями.
интересовал путь где шелку лежит
Не ленитесь, пожалуйста, читать. Файл кладется в корень: /cacheutf8.php
 
Последнее редактирование:
Известно на каких ОС работают взломанные ВПС?
 
ISPManager установлен.

nmap -O site.com

Должен показать ОС.
 
nmap отдельно инсталить не стал. Прошелся Netcraft Site Report произвольно:
HTML:
82.146.59.62 Linux Apache/2.4.6 CentOS mpm-itk/2.4.7-01 OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

62.109.17.149 Linux Apache/2.2.16 Debian PHP/5.4.45-1dotdeb6.1 mod_ssl/2.2.16 OpenSSL/0.9.8o

62.109.11.50 Linux Apache/2.4.6 CentOS mpm-itk/2.4.7-01 OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

188.120.225.30    Linux    Apache/2.4.7 Ubuntu

62.109.9.74 Linux  nginx/1.8.0

62.109.19.122 Linux Apache/2.2.22 Debian

62.109.17.146 FreeBSD nginx/1.4.2

188.120.237.68 Linux Apache/2.2.22 Debian

188.120.255.216 Linux Apache/2.4.10 Debian

62.109.12.236 Linux Apache/2.4.6 CentOS mpm-itk/2.4.7-01 OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

188.120.227.213 Linux  Apache/2.4.10 Debian

94.250.255.67 Linux Apache/2.4.10 Debian

62.109.16.103 Linux Apache/2.4.6 CentOS OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

94.250.248.220 Linux Apache/2.2.15 CentOS

212.109.194.41    Linux    nginx/1.10.1

78.24.221.17 Linux Apache/2.2.22 Debian

188.120.233.93 Linux Apache/2.4.6 CentOS mpm-itk/2.4.7-01 OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.4.16

188.120.231.76 Linux    nginx/0.7.67

92.63.106.208    Linux    Apache/2.4.10 Debian
Из списка выше только у 62.109.17.149 и 188.120.231.76 на 1500 не открылся ISPManager. Но я так понимаю это еще не значит, что ISP панель там не стоит или не стояла?
 
Последнее редактирование:
Выводы достаточно тривиальные, т.к. конфигурация серверов разная, то информация о проблеме на уровне ОС - липа. Версия об уязвимости в панели звучит гораздо правдоподобней.
 
Наконец-то поступил долгожданный ответ от FirstVDS:
Здравствуйте, ***

Первичная проверка показала, что на большинстве взломаных хостов используется устаревшее ПО, с известными уязвимостями. В данный момент мы производим сканирование, чтобы обнаружить все взломаные сервера и оповестить их владельцев.

На самом деле многие сервера заражены уже более двух месяцев, и вы первый, кто сообщил нам об этом.

С уважением,
Отдел IT
FirstVDS
 
Наконец-то поступил долгожданный ответ от FirstVDS:
ну да ну да, тысячи хостеров не пострадали от того что клиенты не обновляются, и только их сервера умудрились ломануть по известным уязвимостям... хай дальше сказки сочиняют)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху