Установочный скрипт управляющей панели хостинга «VestaCP» злоумышленники заразили вирусом, способным считывать верификационные данные пользователей и отсылать их на заданный адрес.
Уязвимость реализовали это добавлением дополнительных параметров в штатной системе телеметрической отсылки, выдающей дистрибутивное имя по внешнему запросу. Ими фиксируется каждый IP в текущем хосте и вводимые вами администрирующие пароли. Узнать, заразил ли вредоносный код ваш сервер, можно, зайдя по адресу: «http://vestacp.com/test/?ip=x.x.x.x».
При наличии данной активности вам уже не поможет обычная смена входного пароля на панель хостинга. Получив доступ к вашему аккаунту, в него вставляют бэкдор под видом системного файла «/usr/bin/dhcprenew». Он заставляет ваше оборудование участвовать в совершаемых DoS-атаках с предоставлением скрытого Shell. Маскировка запущенного бэкдора выполняется процессом «[kworker/1:1]».
Разбирая случившийся инцидент, создатели проекта «VestaCP» выяснили, что изменение кода стало возможным, когда взломали некоторые сервера в инфраструктуре панели хостинга. Новая уязвимость, появившаяся в результате ошибки API в апрельском обновлении 0.9.8-20 была нейтрализована в версии 0.9.8-23. Более подробная информация о случившемся пока не предоставляется.
Наш хостинг использует панель хостинга ISPmanager 5, в нем такой проблемы нет