Массовый взлом Firstvds?

Тема в разделе "Хостинг", создана пользователем Absolute, 2 июн 2016.

  1. Absolute

    Absolute Крокодил ;)

    Регистр.:
    9 авг 2009
    Сообщения:
    481
    Симпатии:
    322
    Шелл (бэкдор, вредкод - хз как хотите называйте), который я вчера выкладывал, как выяснилось был залит еще по крайней мере на 1200 сайтов. Но вот что удивительно - все они, как и мои сайты расположены на серверах FirstVds.

    Собрал часть линков по адресу, с которого шелл брал контент для выдачи: http://79.intalk.eu/spam (см. исходный код CTRL+U)

    Вот список пострадавших (возможно не полный)

    В FirstVDS пока молчат (уже 15 часов), но шелл видимо пофиксили везде.

    UPD: ан нет, не пофиксили. У ряда сайтов по-прежнему перебрасывает на: http://volcano-volcano-casino.com
     
    Последнее редактирование: 2 июн 2016
    latteo нравится это.
  2. lordBlack

    lordBlack

    Регистр.:
    29 ноя 2007
    Сообщения:
    620
    Симпатии:
    246
    подтверждаю. есть ппц.
    ушел чистить.

    интересно что за уязвимость
     
    Absolute нравится это.
  3. shadowrun

    shadowrun

    Регистр.:
    13 июл 2011
    Сообщения:
    180
    Симпатии:
    123
    икнул.. помчал проверять сайты на фирствдс.

    вроде все ок.
    ПО на серваках и движки регулярно обновлялись
     
  4. Absolute

    Absolute Крокодил ;)

    Регистр.:
    9 авг 2009
    Сообщения:
    481
    Симпатии:
    322
    lordBlack, мне эта зараза во все корневые директории сайтов залила cacheutf8.php и заинклудила этот файл в index.php
    Судя по дате создания файла - 29 мая в 01:48
    Исключение составили только сайты на поддоменах - их почему-то не тронуло.

    А FirstVDS продолжают молчать...
     
  5. lordBlack

    lordBlack

    Регистр.:
    29 ноя 2007
    Сообщения:
    620
    Симпатии:
    246
    что удалось узнать - взлом по уязвимости оси прошел. обновляйтесь вообщем.
     
  6. Danphil

    Danphil Создатель

    Регистр.:
    8 июл 2015
    Сообщения:
    12
    Симпатии:
    2
    Это случилось на VPSках? они же у них на KVM!?
     
  7. Absolute

    Absolute Крокодил ;)

    Регистр.:
    9 авг 2009
    Сообщения:
    481
    Симпатии:
    322
    У меня на VPS. При чем здесь тип виртуализации?
    Кстати, FirstVDS так и не написали ничего - до сих пор висит статус заявки "На рассмотрении", наверное сами не могут понять в чем дело, а может просто забили.
    Сейчас, интереса ради взял произвольно первые 10 попавшихся сайтов, где этот шелл присутствует, - у всех ISP-Manager установлен.
    и у меня установлен. Возможно, панель подкачала? ...хотя почему тогда только сервера FirstVDS. В общем, не ясно ничего, буду ждать ответа FirstVDS.
     
    Последнее редактирование: 6 июн 2016
  8. Danphil

    Danphil Создатель

    Регистр.:
    8 июл 2015
    Сообщения:
    12
    Симпатии:
    2
    Ну так указали на взлом "по уязвимость ос", но KVM обеспечивает вполне приемлемый уровень изоляции. Поэтому и удивился. А вот через ISP-Manager влезть вполне могли.
     
  9. TrueStory

    TrueStory Бородатый Админчег

    Регистр.:
    30 апр 2015
    Сообщения:
    194
    Симпатии:
    66
    можно адрес где прячут я погляну на своих вообще панелька исп в своем репертуаре уж 5 год )
     
  10. Absolute

    Absolute Крокодил ;)

    Регистр.:
    9 авг 2009
    Сообщения:
    481
    Симпатии:
    322
    Простите, какой адрес? я всё написал с чем сам столкнулся.
    ИМХО Версия с уязвимость в оси кажется маловероятной. Я рассуждаю так: все берут одни и те же дистрибутивы из одних и тех же репозиториев и если бы была уязвимость в ОС, то с высокой долей вероятности были бы взломаны сервера и других хостеров, а не только FirstVDS. Поправьте, если я не прав.

    Еще 217 сайтов к списку.
    http://textuploader.com/5bzww

    FirstVDS продолжают молчать.
     
    Последнее редактирование: 8 июн 2016