🕵🏼 Новость для владельцев серверов с панелью VestaCP. Обнаружилась и оказалась в паблике уязвимость, с помощью которой злоумышленник может доставить администратору сервера много проблем. Подробности и примеры в заметке.
📗 Открыть на сайте
#vestacp #security
📗 Открыть на сайте
#vestacp #security
t.me
Уязвимость в VestaCP
Для VestaCP опубликована информация об уязвимости, обнаруженной ещё в марте. Уязвимость связана с тем, как панель работает с конфигами веб-сервера Nginx.
Разработчики VestaCP порадовали своих пользователей обновлением панели. Знаю что многие, как и я, этого обновления ждали, так что будем считать его, приятным и полезным новогодним подарком. С обновлением панель получила среди прочего:
- Поддержку работы с Softaculous - системой установки различных CMS в несколько кликов.
- Поддержку Debian 9, Ubuntu 16.10 и 17.04.
- Поддержку Let's Encrypt для IDN доменов.
Проблему безопасности в шаблонах для PHP-FPM так же поправили. IPv6, пока что не завезли, но пообещали сделать это в следующем обновлении.
Подробнее об обновлении по ссылке:
https://vestacp.com/roadmap/
#vestacp
- Поддержку работы с Softaculous - системой установки различных CMS в несколько кликов.
- Поддержку Debian 9, Ubuntu 16.10 и 17.04.
- Поддержку Let's Encrypt для IDN доменов.
Проблему безопасности в шаблонах для PHP-FPM так же поправили. IPv6, пока что не завезли, но пообещали сделать это в следующем обновлении.
Подробнее об обновлении по ссылке:
https://vestacp.com/roadmap/
#vestacp
🛠 VestaCP на Fedora Server.
Так, друзья, я тут начал странное - адаптировал немного установщик VestaCP панели для Fedora Server. Сам я с Fedora работаю достаточно плотно, и мне там панельки для быстрого сетапа порой ну очень не хватало. Теперь вот есть такая штука. Пока что, скрипт ставит Nginx, PHP-FPM и MariaDB, остальное, видимо, буду тестировать по мере необходимости.
Если интересно что и как, добро пожаловать в соответствующую заметку:
📗 https://sysadmin.pm/vestacp-fedora-server/
#fedora #vestacp
Так, друзья, я тут начал странное - адаптировал немного установщик VestaCP панели для Fedora Server. Сам я с Fedora работаю достаточно плотно, и мне там панельки для быстрого сетапа порой ну очень не хватало. Теперь вот есть такая штука. Пока что, скрипт ставит Nginx, PHP-FPM и MariaDB, остальное, видимо, буду тестировать по мере необходимости.
Если интересно что и как, добро пожаловать в соответствующую заметку:
📗 https://sysadmin.pm/vestacp-fedora-server/
#fedora #vestacp
Записки админа
VestaCP на Fedora Server - Записки админа
Скрипт установки панели управления VestaCP на Fedora Server. Скрипт тестовый, по нему ещё много работы, но кое-что он уже делает.
🔸 Проблемы у пользователей VestaCP.
Давайте сразу обозначим - на 100% не ясно, является ли источником проблем уязвимость в VestaCP, но на их форуме растёт занятный тред о взломанных серверах, где местами был получен root и инициировалась исходящая атака.
https://forum.vestacp.com/viewtopic.php?f=10&t=16556
Признаки взлома примерно такие:
- Наличие файла
- Наличие файла
- Аномально высокое значение исходящего с сервера трафика.
Пока идёт разбор полётов, имеет смысл проверить, всё ли в порядке на серверах, и прикрыть панель фаерволом (ну или отключить её). Разумеется, последить за темой по ссылке выше и за анонсами от разработчиков.
#vestacp #security
Давайте сразу обозначим - на 100% не ясно, является ли источником проблем уязвимость в VestaCP, но на их форуме растёт занятный тред о взломанных серверах, где местами был получен root и инициировалась исходящая атака.
https://forum.vestacp.com/viewtopic.php?f=10&t=16556
Признаки взлома примерно такие:
- Наличие файла
/etc/cron.hourly/gcc.sh (возможно стоит проверить cron в принципе).- Наличие файла
/usr/lib/libudev.so (возможно libudev.so.6, возможно в другом каталоге).- Аномально высокое значение исходящего с сервера трафика.
Пока идёт разбор полётов, имеет смысл проверить, всё ли в порядке на серверах, и прикрыть панель фаерволом (ну или отключить её). Разумеется, последить за темой по ссылке выше и за анонсами от разработчиков.
#vestacp #security
🔹 VestaCP обновления.
Разработчики сообщают, что обновление с исправлением уязвимости таки выпущено...
Исправления можно увидеть здесь:
https://github.com/serghey-rodin/vesta/commit/eaf9d89096b11daa97f8da507eb369e359cda7dd
Однако у части пользоваталей имеются проблемы с установкой обновлений. Если VestaCP в работе используете, обязательно проверьте обновления и последите за форумом.
P. S. Поспрашивал у админов и владельцев серверов с Вестой - на установках, где панель была перенесена на не стандартный порт и/или была прикрыта фаерволом взлома не произошло.
Не берусь гарантировать что ответов достаточно для статистики, но факт остаётся фактом - поставили панель, не оставляйте её торачть просто так. Как минимум - смените порт, а лучше прикройте фаерволом и оставьте доступ только для нужных адресов/диапазонов.
#vestacp #security
Разработчики сообщают, что обновление с исправлением уязвимости таки выпущено...
[2018-04-09] New security fix release 0.9.8-20 avaliable nowИсправления можно увидеть здесь:
https://github.com/serghey-rodin/vesta/commit/eaf9d89096b11daa97f8da507eb369e359cda7dd
Однако у части пользоваталей имеются проблемы с установкой обновлений. Если VestaCP в работе используете, обязательно проверьте обновления и последите за форумом.
P. S. Поспрашивал у админов и владельцев серверов с Вестой - на установках, где панель была перенесена на не стандартный порт и/или была прикрыта фаерволом взлома не произошло.
Не берусь гарантировать что ответов достаточно для статистики, но факт остаётся фактом - поставили панель, не оставляйте её торачть просто так. Как минимум - смените порт, а лучше прикройте фаерволом и оставьте доступ только для нужных адресов/диапазонов.
#vestacp #security
GitHub
Auth fix 0.9.8-20 · serghey-rodin/vesta@eaf9d89
VESTA Control Panel. Contribute to serghey-rodin/vesta development by creating an account on GitHub.
📝 VestaCP и open_basedir.
В связке Nginx+PHP-FPM панель VestaCP по умолчанию не назначает open_basedir ограничения. В заметке, один из возможных способов исправления этой ситуации, с помощью создания\редактирования шаблонов, с которыми работает панель.
📗 https://sysadmin.pm/vestacp-open_basedir-php-fpm/
#vestacp #php #будничное
В связке Nginx+PHP-FPM панель VestaCP по умолчанию не назначает open_basedir ограничения. В заметке, один из возможных способов исправления этой ситуации, с помощью создания\редактирования шаблонов, с которыми работает панель.
📗 https://sysadmin.pm/vestacp-open_basedir-php-fpm/
#vestacp #php #будничное
Записки админа
VestaCP open_basedir php-fpm - Записки админа
По умолчанию, на сегодняшний день, связка Nginx+PHP-FPM в VetaCP не позволяет подключить open_basedir. Однако, панель работает с системой шаблонов, и с их помощью мы можем сделать всё необходимое.
🔻 Уязвимость VestaCP.
Ещё одна, да, к сожалению. Все, кто эту панельку использует, и ещё не видел темы:
https://forum.vestacp.com/viewtopic.php?f=10&t=17183
...обязательно загляните.
Ну и не забудьте обновиться. Апдейты уже доступны для установки.
#vestacp #security
Ещё одна, да, к сожалению. Все, кто эту панельку использует, и ещё не видел темы:
https://forum.vestacp.com/viewtopic.php?f=10&t=17183
...обязательно загляните.
Ну и не забудьте обновиться. Апдейты уже доступны для установки.
#vestacp #security
🆖 Не для прода! Года полтора назад я это уже делал. Потребовалось повторить...
http://sysadmin.pm/vst-install-fedora-30.sh - тестовая устанвка VestaCP и стека Nginx, PHP-FPM, MariaDB, Named на Fedora 30. Апача, почты, постгре - нет.
Если есть ещё отбитые (как я, да), которые хотят описанный выше стек на Fedora 30 - можно пробовать. Протестировал - поставил панель, создал пользователя, базу, добавил домен, включил SSL, установил Wordpress - всё завелось без проблем.
#vestacp #fedora
http://sysadmin.pm/vst-install-fedora-30.sh - тестовая устанвка VestaCP и стека Nginx, PHP-FPM, MariaDB, Named на Fedora 30. Апача, почты, постгре - нет.
Если есть ещё отбитые (как я, да), которые хотят описанный выше стек на Fedora 30 - можно пробовать. Протестировал - поставил панель, создал пользователя, базу, добавил домен, включил SSL, установил Wordpress - всё завелось без проблем.
#vestacp #fedora
⚡️ RCE в VestaCP https://pentest.blog/vesta-control-panel-second-order-remote-code-execution-0day-step-by-step-analysis/ Весь вопрос в скорости выпуска обновлений теперь.
#vestacp #security
#vestacp #security