neoks

neoks
Рейтинг
152
Регистрация
17.03.2010
VestaCP reportedly hit with zeroday exploit
kxk:
Pavel A, Дело по-сути в привелигированном юзере admin какому дают bash "для удобства".А, мы недаём:)

Сам не особо юзаю панель, но если не ошибаюсь, там нельзя вызвать "curl / wget" в планировщике заданий, если у пользователя нету доступа к bash, или этот косяк исправили ? :)

Критическая уязвимость в панели VestaCP

Вроде есть патч https://forum.vestacp.com/viewtopic.php?f=10&t=16556&start=260#p68893

Критическая уязвимость в панели VestaCP
HelgerLEE:
Из 12 VPS поломали два. Именно те, где было включено автообновление. Старые версии все работали нормально, но пока отключил от греха.

На другие 10 могли просто не дойти.

Критическая уязвимость в панели VestaCP

Доступ к панели нужно изначально разрешать только для своего IP, Не зависимо от панели, будь то vesta или ispmanager.

Firstvds.ru - обман и развод
NewAction:
Хотя и неясно, кому и зачем нужны подобные шуточки, раз деньги увести с баланса или как-то еще заметно напакостить нельзя.

Скорее всего заказанный сервер продался как дедик или ушел под спам и чернуху.

Уязвимость в сайте, кто-то встроил код адсенса

gorasul, Мобильный оператор Мегафон ?

Drupal 6,7,8 - highly critical - remote code execution

Оптимизайка, Как я понимаю даже форма поиска может выполнить код ?

Сертификаты бесплатно.
Jaf4:
да, но на сервере работает кучка разношерстных сайтов, порядка двухсот. Не хотелось бы все откатывать или переставлять.

Тогда ставьте Let's Encrypt

Установка

git clone https://github.com/certbot/certbot /opt/certbot

Получение сертификата 

/opt/certbot/certbot-auto certonly --webroot -w /var/www/user/data/www/example.com -d example.com -d www.example.com

В крон ставите - (это будет автоматически продлевать полученные выше сертификаты)

0 0 1 * * /opt/certbot/certbot-auto renew --dry-run

Шаблон nginx-ssl в ISPManager измените так, что-бы сертификаты брались по этим путям

Certificate Path: /etc/letsencrypt/live/example.com/fullchain.pem
Private Key Path: /etc/letsencrypt/live/example.com/privkey.pem

Либо просто поставьте символические ссылки
ln -s /etc/letsencrypt/live/example.com/fullchain.pem /var/www/httpd-cert/user/example.com.crt
ln -s /etc/letsencrypt/live/example.com/privkey.pem /var/www/httpd-cert/user/example.com.key

И собственно все, 10 минут настроек + по минуте на получение сертификата для каждого домена.

Сертификаты бесплатно.
Jaf4:
Я арендую голый сервер, куда поставил свой менеджер.

Как я понимаю у вас есть доступ root и возможность установить любой софт на сервер ?

Мини-отчет по массовой бане роботов.
Оптимизайка:
у ТС как я понял, с этим как раз проблемы (т.к. их видно в метрике)

Не заметил данные метрики, в данном случаи можно включить проверку с "часовым/суточным" лимитом запросов + вывод reCAPTCHA на заглушке, это остеит ботов понимающих JS.

Но в этом случаи есть шанс отправить вместе с IP и белых пользователей за NAT.

Оптимизайка:
Капчи у вас нет же?

Есть reCAPTCHA с возможностью устанавливать время через которое потребуется снова пройти заглушку.

mrmvd:
У меня основная идея такая, что если несколько IP с роботами принадлежат одному хостинг-провайдеру, то я блокирую весь пул хостинг-провайдера, считая что люди живые там не сидят.

1) IP ДЦ можно заносить в iptables без угрызения совести, если только это IP не vpn сервиса, такие лучше проверять обычной схемой, потому что белый пользователи тоже юзают vpn.

2) IP интернет провайдеров лучше не блокировать, или блокировать на короткий промежуток времени.

1... 121314151617181920 ...71
Всего: 705