Собственно вот что получилось:
1.33.3 - дырка, заключена в том что если создать поддомен wap. в панели лезут баги. JBMS выпустили заплатку обновлять срочно всем!
По видимому проблема не исправлена и в заплатке, т.к клиентский vps поломали как забор, причина DA.
100 раз перепроверьте свои сервера.
Второе - почтовик roundcube все версии кроме последней дырявые, обновлять срочно, или удалять. Лучше удалять.
Ну и в тему, если кто то не знает, то проверьте сервер на наличие gz.cgi, dm.cgi, xilfin.cgi.
Если тема кому то полезна, очень рад.

DA 1.33.6 создал сабдомен wap, ошибок нету,
раундкуб давно не держим.

Действительно, сейчас посмотрел версия 33.6, сейчас обновлю посмотрим что будет Спасибо.

Сегодня ночью обновили DA. Были также проблемы с бэкапами у предыдущих версий.
roundcube тоже давно снесли, так все прям так плакали, что им нравится именно этот веб-интерфейс, что прямо жить без него не могут. Хулиганы...

Обновил сейчас панель, всё работает!

Спасибо!

Немного не по теме, но в чем причина отказа от roundcube?
И какой почтовки рекомендуете? У roundcube действительно удобный интерфейс

squirrelmail + skin nutsmail, не хуже чем раундкуб

Про "дырку" громкое, однако, заявление

Есть официальная информация о проблеме? Можете сослаться?

Есть официальная информация о "выпущенной заплатке"? Я здесь не нашел

Какие именно баги, чтобы можно было проблему назвать "дыркой"? (В моем понимание - это место, через которое можно произвести взлом сервера с целью получения контроля над ним).

Есть доказательства, что причиной поломки действительно является бинарник DA?

Ну и хочу отметить, что проблема дырявого roundcube, равно как и любого другого стороннего ПО, никак не является проблемой DA.

К сожалению, часто встречаю тех, кто делает подобные заявление, а потом оказывается, что проблема в "умении" настраивать серверы и "вовремя" обновлять стороннее ПО. Ни в чем вас не хочу обвинить, но по указанной выше причине хотелось бы получить точную информацию с доказательствами, а не просто голословное утверждение.

Как и нами, так и другими провайдерами, было установлено, и проверена уязвимость скрипта.
Юзаем webmail постом ниже предложена достаточно красивая связка.



1. Кому громкое кому проверенное.
2. Официальной информации нет, да я и думаю не будет. А ссылаться на своего клиента и других хостинг провайдеров, которые знают об этой уязвимости без их согласия не намерен.
3. Как и выше, проверяем на себе, о результатах обновления и безопасности отвечу для через 3.
4. Достоверно известно следующее:
4.1 - пароль от логина admin, даннын от da_admin "утекают" при использовании уязвимости в версии х.х.33 Авторизацию с "левых" ip замечали не один раз в истории входов.
5. После возникшей проблемы, меры безопасности принятые к vps серверам клиентов не оставляют не каких шансов произвести взлом. так же как и ранее, появляется поддомен "wap" который сам клиент не создавал, и это достоверно.
Я прошу прощения что не разделил сообщения про DA и re я просто не думал что это можно или нужно связывать между собой.

Чуток вдогонку, дабы не голословить

Такой ip адрес, клиентом и нами не используется.
address: The Netherlands
P.S - говорить о утечке пароля среди "своих" или самим клиентом даже не стоит.

Roundcube (как минимум под DA) уязвим - факт!

squirrelmail люблю. Легкий, простой, надежный. Ну и есть куча скинов на выбор.

А юзеры все равно хотят раундкуб

Скины под wmail или последнюю версию и проверку на безопасность.


Если не затруднит, дайте ссылочку где скины посмотреть. Ну так уж не охота гуглить

Никогда списка не видел, готового. Но гуглом находится, и много

1-2 Проверенное кем? Пока не предоставлено достоверных фактов о том, что уязвимость относится к DA. Плюс если нет официальной информации, значит не нужно говорить о том, что DA выпустил заплатку. Заплатку выпускают на определенную уязвимость или баги. В списке обновлений DA ничего не числится, кроме стандартных обновлений и багфиксов некоторых. Поэтому DA не выпускал никакой заплатки на мнимую уязвимость, приводящую якобы к утечке пароля admin. Вот уже одно голословное утверждение о выпущенной заплатке.

3. Получается, что метод не обнаружен? Значит второе и главное голословное утверждение о "дырке в DA".

Если бы это был русский разработчик и его представители читали это, то Вас бы могли обвинить в чем-то нехорошем

4.1 пароль от admin
Здесь все элементарно, встречается сплошь и рядом. Не первый раз сталкиваюсь и всегда все сперва пытаются обвинить кого-угодно, но только не поверить свои компы и каналы или другие пути. "Утекает" с компьютеров (или по пути) тех, кто под этим паролем авторизуется. Особенно если не используется https для входа в панель, если пользуются ftp и если (совсем ужасно!) используют для забора почты аккаунта по pop3. Ну и особенно если пароль храниться (в случае с ftp) на компьютере, а не вводится при каждой авторизации. Другая элементарная проблема - легкие пароли. Третий вариант - если под admin выкладывается какой-то сайт со скриптами, да еще если прописана где-то в скриптах авторизация. Есть еще другие варианты... Бесплатный совет из моих первых советов, которые я даю клиентам после настройки сервера: не используйте никогда авторизацию admin и вообще забудьте об этом "стандартном" аккаунте. Поменяйте ему после установки сервера пароль прямо в ssh, уберите от него shell. Для админского доступа в панель создайте отдельного пользователя с нестандартным именем, но не включайте ему ssh и ftp (только для панели используйте). Для доступа по ssh для админских целей вообще создайте пользователя не привязанного к DA.

>"даннын от da_admin "утекают"
Давайте разберемся, какие именно данные? Пароль?

А скриншот зачем приведен? Что он доказывает? Он доказывает только лишь одно - что была авторизация с этого адреса. Узнай я пароль методами описанными выше, и вы бы увидели там мою авторизацию. Но нет никакого доказательства, что это уязвимость в бинарнике DA.

Сейчас можете попробовать погрепать логи apache и ftp по этому "левому" ip за те дни. Может накопаете что-то дополнительное. И поставьте для сервера 78.159.112.63 принудительный переброс на https, если многие админы ходят в панель с разных машин/мест. А еще посмотрите по логам, куда ходил в панели этот ip. Тоже косвенно или прямо может на что-то указать.

Поверьте, проблема банальна. Я таких не один десяток встречал. И обвинения в адрес DA слышу не первый раз. Все (абсолютно все) заканчивалось тем, что находили источник проблемы у себя или источник не находили, но свою проблему осознавали. Было это так: одному клиенту раз пять менял пароли, он убеждал, что все у него на компе чисто, что он проверяет каждый день на вирусы, а взломы все были и были. Что мол проблема на сервере. Был предложен радикальный вариант: меняю пароли, ему ничего не отправляю, ждем месяца три, все делаем только через меня. После этого проблемы больше не было, пока пароль снова ему не попал. Вот так...

Вам нужно предпринять определенные меры безопасности и выработать некоторые правила работы, иначе проблема будет повторяться и при любой версии DA.

Тем более, что она у вас уже повторялась!


Супер!
Roudcube определенных версий уязвим сам по себе. "под DA" тут не при чем.

Действительно, нет данных, что панель каким-то образом "отдала" пароли. Увели их мимо DA... А что там как забор VPS поломали. Так у нас бывают "взломы" тоже, кому-то сказал, кривой скрипт и т.д. и сразу - меня взломали. Хотя фактически сам всё и отдал.
Roundcube - если он сам по себе дырявый, то DA тут ни при чём. То, что он ссылку на него в интерфейсе имеет, ни о чём не говорит. Если ссылку поставить на него в любом портальном движке и он (Roundcube) дырявый, по такой логике и портал дырявый и вообще весь сервер...

Уважаемый Денис, тема создана как проблема, появившаяся на собственном опыте. По этому спорить и доказывать Вам дырявость DA я не буду. В нашем случае проблемой и уязвимостью является именно панель. А то что Вы описали, в рекомендациях со словом "элементарно" - таким способом, достать наш пароль не реально.

А не нужно спорить. Нужно подтверждать свои обвинения в адрес кого-то фактами! В данном случае Вы абсолютно бездоказательно обвинили разработчиков DA в том, что в их панели есть уязвимость. Вы также публично опубликовали заведомо ложную информацию. А сейчас хотите просто тихо уйти, прикрыв это нежеланием спросить.

Все это очень, очень плохо!

Плохому танцору яйцы мешают. Спорить или резать будем?
С субдоменами на Директадмин отдельная песня, слова и музыку просто надо знать.
Роундкуб, это одна большая дыра и это было всегда с рождения этого скрипта. Не думаю что ситуация изменится.
Четвёртый год изпользуется Директадмин, не было ни одного взлома. Правила на серверах не особо жёсткие, присмотр за сервером без головной боли. Это одна из самых надёжных панелей.
У клиентов ломали не раз, но это не повод обвинять панель....

По сути, тема для галочки а также напоминание что роундкуб - зло.

P.S. Я не говорю, что безопасны стандартные настройки сервера после установки директадмин. Но к самому движку претензий нет.

Я просто уверен, а Ваши нотации и мнения и нравоучения, ну я в них не нуждаюсь.

По логике, если бы так просто нашли "дырку" именно в DA 1.33.3, то взломаны были бы сотни серверов разных компаний, которые не успели обновиться. А куда бы они успели, если бы еще разработчики не знали?
Мы используем исключительно DirectAdmin из-за её надёжности и удобства.

Ставить ПО из исходников игнорируя пакетный манагер дистрибутива и собирать его с _дефолтными_ параметрами при ./build update_versions - верх удобства, да.

Юзабилити, слышали такое слово? Неологизм, понимаю...
Каждый вкладывает в слово "удобства" разный смысл. Кто-то заботится, чтобы Клиенту было удобно и говорит "удобна" вкладывая этот смысл, а кто-то начинает говорить про то, что легче ПО ставить... Каждому своё

P.S. У меня лучший ./build - сисадмин. Сказал ему, он сделал как нужно. А лучше всего ничего не говоришь, а он сам делает как нужно, правильно и быстро.

Я только о том, что "юзабилити" не должно идти в разрез с техническим качеством продукта. А когда доработали антураж, но съэкономили на нормальных системах установки\обновления - имхо, не хорошо.

./build действительно негодится для качественной настройки сервера и обновления стороннего ПО. Я вообще при настройке серверов скачиваю только бинарник DA и файл лицензии, все остальное (как то, установку и настройку всех сторонних сервисов, конфигов и скриптов DA и пр.) делаю вручную. Иногда вообще только файл лицензии, а бинарник беру с соседнего сервера, если там такая же ОС. DA - это быстрая, удобная и безопасная оболочка для управления настройками сервисов, но она не является хорошим комплексом, с помощью которого можно произвести безопасную и стабильную начальную настройку сервера и производить обновления.

И что будет когда сисадмин заболеет/уйдет?

Вы так говорите, как будто DA технически не качественен. Что тогда у нас тогда сверх качественный продукт? Расскажите...


Странный вопрос. А что делать, если заболеет бухгалтер или уйдёт? А если сисадмин... а если... Найду нового и всё. Незаменимых людей нету. Или у меня должен быть пароноидальных страх, что у меня сисадмин или бухгалтер уйдут, поэтому мне нужно или закончить курсы бухучёта побыстрее, или найти волшебную панель, которая будет всё ставить и настраивать сама за сисадмина...
И что будет? Да ничего страшного не случится...

А кто объяснит новому сисадмину каким образом старый ставил софт?
Про то, что бухгалтер может свалить с бюджетом всей компании я тихо промолчу

Ну вообще-то существует такая процедура как сдача дел от старого сотрудника новому. В крайнем случае новый сисадмин может позвонить предыдущему и выяснить это. Тут проблем не возникнет.

Что касается бухгалтера (я привёл просто сравнение, но уже раз зашел разговор...), то тут есть договор, есть закон и другие методы воздействия. И если ВЕСЬ бюджет компании хранится в чулке бухгалтера, а не в банке на р/с, то у этой компании серьёзные проблемы с головой.

Я не о том, что что-то сделать нельзя. Я о том, что вещь, которая должна делаться штатно (через панель и систему портов\пакетов\ебилдов ОС) делается через задницу - сборкой из исходников, с попутным созданием помойки на винте и без возможности это корректно и без бубна обновить или перенастроить. Имхо, это не нормально, в любом случае.

По поводу "у меня есть сисадмин". У вас есть, а у кого-то - нет. И что ему делать? При этом, ДА зачастую рекомендуется хостерами как панель для начинающих пользователей при аренде серверов, а то и вовсе идет по-умолчанию. А вот решать возникшие с панелью проблемы большинство не хочет.

Пользователь пытается что-то сделать (например обновить ДА) - получает неработоспособный сервер. Это правильно? Мне кажется, нет.

Всегда нужно выбирать, шашечки или ехать...

Безусловно.. Вопрос только, что "шашечки", а что "ехать". И это уж каждый для себя решает сам.

Вот мы и пришли к общему знаменателю. Каждый должен думать своей головой и делать самостоятельные решения. А уже эти решения и будут обуславливать технологии, людей, оборудование и т.д...

Представил себе этот разговор
- Але, Вась? Тут хостинг упал, ошибка в апаче. Подскажи как собирал?
- Петь, честно говоря непомню. Я сейчас вообще то в отпуске, позвони через месяц.

И это еще не самый худший вариант.

По этому слушайте что говорит differentdifferent и набирайтесь уму-разуму. Потому что сделать слакварь можно на своем десктопе, а на рабочих серверах где лежат сайты клиентов - это мягко говоря не этично и не профессионально.

Сейчас речь идёт конкренто о DirectAdmin а не о Васе и его отпуске. Поэтому нужно обсуждать конкретный продукт и его защищенность в рамках темы. А догадки о том, кто кому как будет звонить и рассказывать о настройках сервера уже не в этой теме и даже не для этого форума, а для конкретного случая, конкретных задач, проблем и их способах решения.

Про то, что сисадмину возникают подобные вопросы, мне сложно промолчать, помогу:

httpd -h
httpd -V
httpd -M

Для Debian семьи надо просто httpd поменять на apache или apache2 соответственно.
Аналогично можно найти опции сборки любого софта. Нормальному админу, чтоб найти все настрйки бывшего админа понадобится максимум десяток минут. Это быстрее чем обьяснятся по телефону или найти все свои записи... Только другое дело что новый скорее всего всё собирать будет по своему....

P.S. whereis & locate тоже жить помогает

Да-да, только httpd -v не покажет с какими патчами собрали httpd

Роман, в одной уютненькой местной одесской конференции любой вопрос в результате скатывался к обсуждению мобильников или автомобилей, так что не удивляйтесь. Это я по привычке

Ладно. От слова к делу. У моей соседки обноружилась дырка. Пойду фиксить этот баг!

Эх, как мне соседка со своей сантехникой надоела. Эх, одинокая женщина. Как не помочь?