V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
vibbow
V2EX  ›  VPS

ChicagoVPS被人脱裤了

  •  
  •   vibbow · 2013-06-18 17:19:35 +08:00 · 3734 次点击
    这是一个创建于 4177 天前的主题,其中的信息可能已经有所发展或是发生改变。
    所有VPS全部挂了,所用用户资料 + VPS资料全部泄露(还把下载地址挂到官网上了...)

    总共9403个VM,109个节点
    第 1 条附言  ·  2013-06-19 19:11:12 +08:00
    官方更新:以下节点的资料可能无法恢复
    LA18, ATL1, ATL4, ATL5

    然后ChicagoVPS决定放弃SolusVM了。
    57 条回复    1970-01-01 08:00:00 +08:00
    ma6174
        1
    ma6174  
       2013-06-18 17:22:03 +08:00
    强烈关注
    haruhi
        2
    haruhi  
       2013-06-18 17:26:02 +08:00
    SolusVM漏洞吧?昨天还是前天我就收到oneasiahost的邮件了…马上ssh修改root密码,网页重置面板登陆密码…
    2code
        3
    2code  
       2013-06-18 17:33:00 +08:00
    吓出一声冷汗,请问一下信息来源?
    binux
        4
    binux  
       2013-06-18 17:34:43 +08:00
    使用paypal付款 √
    禁用ssh密码登陆 √
    独立密码 √
    没有数据 √

    应该问题不大。。
    molinxx
        5
    molinxx  
       2013-06-18 17:35:32 +08:00 via Android
    我的图床挂了。。。WTH
    zencoding
        6
    zencoding  
       2013-06-18 17:37:24 +08:00
    无有看到,正常呀
    vibbow
        7
    vibbow  
    OP
       2013-06-18 17:42:44 +08:00
    @binux 对于我个人来说:
    使用Paypal付款 Yes
    禁用SSh密码登录 No
    独立密码 Yes
    没有数据 (怎么可能是No,要不然你买VPS干嘛)

    反正这个VPS只是装最新版PHP折腾用的,挂了就挂了...
    binux
        8
    binux  
       2013-06-18 17:44:55 +08:00
    @vibbow 没有数据是指没有被读有风险的数据
    vibbow
        9
    vibbow  
    OP
       2013-06-18 17:46:32 +08:00
    @binux 那对我来说还是有,Firefox Sync Server。
    不过我暂时相信Mozilla的加密。
    yanwen
        10
    yanwen  
       2013-06-18 18:08:44 +08:00
    貌似是很久之前的事情???
    welsmann
        11
    welsmann  
       2013-06-18 18:11:00 +08:00
    这事儿很久之前了
    yylzcom
        12
    yylzcom  
       2013-06-18 18:13:53 +08:00
    是16号(北京时间17号)的solusVM的sql注入密码吧,不过好像受影响的就只有ramnode啊,没听说chicagovps也受影响
    gongyiyi
        13
    gongyiyi  
       2013-06-18 18:26:11 +08:00
    最近solusvm真是被人推到了风头浪尖啊!
    yinxingren
        14
    yinxingren  
       2013-06-18 18:43:40 +08:00
    默默的求个下载地址。。
    xvbin
        15
    xvbin  
       2013-06-18 18:51:51 +08:00
    哎,我的VPN啊。。。。
    chemhack
        16
    chemhack  
       2013-06-18 18:52:38 +08:00
    拖了很久了。。。。
    wzxjohn
        17
    wzxjohn  
       2013-06-18 19:21:36 +08:00
    目测悲剧了。。。VPS好像Down了。。。
    alphamm
        18
    alphamm  
       2013-06-18 20:36:18 +08:00
    求放出裤子。原下载地址不行了
    darkbill
        19
    darkbill  
       2013-06-18 21:04:21 +08:00
    ramnode的邮件里面是这么说的,
    The following information was contained in the leaked database: first names, last names, email addresses, and SolusVM account information. No telephone numbers, street addresses, or billing information was compromised.
    就是只有名字、账户信息被泄露了。。。
    vibbow
        20
    vibbow  
    OP
       2013-06-18 21:06:53 +08:00
    @darkbill SolusVM account information,这个就包括你的root密码。
    princeofwales
        21
    princeofwales  
       2013-06-18 21:15:57 +08:00
    假的,我的VPS今天没有停啊

    top - 21:15:39 up 31 days, 18:39
    darkbill
        22
    darkbill  
       2013-06-18 21:19:22 +08:00   ❤️ 1
    @vibbow 一早就禁止了root登录,问题不是独立密码,现在在废除旧密码中。。。不过还好,这个密码用的地方不多。。。
    chainkhoo
        23
    chainkhoo  
       2013-06-18 21:47:34 +08:00
    =.-还好早就撤离了chicagovps 之前觉得他家超售太严重了 就闪人了
    likuku
        24
    likuku  
       2013-06-18 22:15:22 +08:00
    ssh 必须 only public_key 认证啊...
    vibbow
        25
    vibbow  
    OP
       2013-06-19 02:35:03 +08:00
    @princeofwales 敢报上你的邮箱么?
    我当时正在winscp传数据呢,突然就断了,然后就第一时间看到了被脱裤了。
    于是也第一时间下载了...
    vibbow
        26
    vibbow  
    OP
       2013-06-19 03:27:50 +08:00
    ChicagoVPS的官方说明出来了:

    Around 3am Eastern Standat Time (EST) today, there was a security breach, due to a vulnerability in SolusVM that allowed a command line to be run to dump the ChicagoVPS SolusVM client database and attempt to delete all data from our nodes. Our staff is working tirelessly to get everything back online, along working with SolusVM to address the root issue and no furthur impact is expected.

    Now what does this mean for the customer? All passwords should be changed, this includes passwords for SolusVM control panel and your VPS. This data leak does not include billing information or credit card information. Thus far we are having great success in getting nodes back online with no data loss, however, there are a few that were not recoverable and will be restored using our offsite backups.

    Once the situation is 100% complete and back to normal we will send another email out. We understand the sevarity and importance to get everything back online quickly. With that in mind, please try to refrain from opening a ticket or replying to an old one as it only slows us down even more. We are doing our best, and hope to have this fully resolved within 24 hours.

    Thank you for your patience and understanding.

    Regards

    Your ChicagoVPS Team
    wenbinwu
        27
    wenbinwu  
       2013-06-19 03:37:47 +08:00
    @vibbow Firefox的就算泄露了别人拿了也没办法解密,因为连Firefox的人都没法读。。。
    lll9p
        28
    lll9p  
       2013-06-19 07:32:40 +08:00 via Android
    SolusVM漏洞,貌似影响很大啊,host1free的vps也被一撸到底。。。
    yylzcom
        29
    yylzcom  
       2013-06-19 09:14:24 +08:00
    完了,是真的,我今天早上收到邮件了,速度去改密码
    sdysj
        30
    sdysj  
       2013-06-19 09:33:09 +08:00
    chicagoVPS早给人拖好几次库了,还在混?
    FanError
        31
    FanError  
       2013-06-19 09:37:06 +08:00
    BuyVM好像也是SolusVM呀,没影响?
    tititake
        32
    tititake  
       2013-06-19 09:48:23 +08:00
    中招,到现在还是没法管理vps。
    Virtual Server Control
    Status: Unavailable
    webflier
        33
    webflier  
       2013-06-19 10:11:11 +08:00
    @FanError BuyVM不是SolusVM,他们自己in house开发的
    webflier
        34
    webflier  
       2013-06-19 10:14:22 +08:00
    RamNode和ChicagoVPS都有我的vps。
    其中RamNode挂了8个VPS,点背到极点~~~
    jqw1992
        35
    jqw1992  
       2013-06-19 19:07:20 +08:00
    我的也是...网站主题被人删了...
    manoon
        36
    manoon  
       2013-06-19 22:55:59 +08:00
    压力不大。。。很庆幸,上周有把所有VPS上面的数据备份了一下。哈哈。
    dearroy
        37
    dearroy  
       2013-06-20 09:20:18 +08:00
    @webflier 你是说的Stallion吧,Stallion也是SolusVM的二次开发。
    sopato
        38
    sopato  
       2013-06-20 09:44:16 +08:00
    哗~~~看来是大时间,强烈关注。
    wzxjohn
        39
    wzxjohn  
       2013-06-20 10:08:13 +08:00
    @vibbow 求裤子下载。。。
    ibudao
        40
    ibudao  
       2013-06-20 15:07:36 +08:00
    应该是solusvm面板的0day漏洞引起。今天折腾起我在123systems上的vps,突然发现控制面板上不去了,于是发了个ticket过去,得到如下回复:
    The exploit from 6/16/2013 has been patched by the software distributor, however, numerous reports are still stating that there are several other zero day exploits currently unknown to the software distributor and are still unpatched.
    详见:https://www.123systems.net/policy.html
    pubby
        41
    pubby  
       2013-06-20 15:31:38 +08:00
    额,123systems有没有沦陷啊,上面还有好几个vps
    bearqq
        42
    bearqq  
       2013-06-22 01:44:41 +08:00
    @vibbow 可以求个裤子么。。想了好久还是来做伸手党了。因为之前在chicago上用过一段时间,后来扔了。当时root密码和我现在好多账号包括vps密码是同一个,如果裤子里还有的话。。。
    vibbow
        43
    vibbow  
    OP
       2013-06-22 07:03:00 +08:00
    @bearqq 那我可以告诉你100%被泄露了,改密码去吧。
    tititake
        44
    tititake  
       2013-06-26 20:40:52 +08:00
    现在你们的vps可以管理了吗?我怎么在 hxxps://billing.chicagovps.net/clientarea.php?action=products 找不到管理入口?邮件里面说应该有个"Virtual Server Control"。死活没找到。。。
    vibbow
        45
    vibbow  
    OP
       2013-06-26 23:22:04 +08:00
    @tititake 我发了Ticket,在排队等装回Ubuntu,现在是CentOS...
    现在是在WHMCS里管理了,只能进行简单的开关机改root密码,更高级的诸如重装系统之类的需要发ticket
    tititake
        46
    tititake  
       2013-06-27 10:15:02 +08:00
    @vibbow WHMCS的入口,是在我贴的那个页面,也就是"My Products & Services"里面吗?我怎么就没看到呢?

    vibbow
        47
    vibbow  
    OP
       2013-06-27 10:28:40 +08:00
    @tititake View Details
    vibbow
        48
    vibbow  
    OP
       2013-06-27 11:02:06 +08:00
    @tititake chr#####[email protected] 123654tttt
    在已经被脱裤的情况下,遮挡部分信息只会引起好奇心...
    tititake
        49
    tititake  
       2013-06-27 11:11:01 +08:00
    @vibbow 谢谢,现在看到了,原来没有下面的管理选项。另外,我的信息怎么找到的?有点意思。
    vibbow
        50
    vibbow  
    OP
       2013-06-27 11:13:34 +08:00
    @tititake 脱裤数据库,直接查询xpath://td[3][.='vps']/../td[6][.='1024 MB'] ,结果就一条。
    vibbow
        51
    vibbow  
    OP
       2013-06-27 11:16:53 +08:00
    @tititake 接着在google按邮箱搜,看到了gitorious.org上的记录,头像一样,可以确认是你了。
    tititake
        52
    tititake  
       2013-06-27 11:20:13 +08:00
    @vibbow 嗯,我猜也是根据vps的名字查到的,或者过期时间什么的。

    另外,谁知道明文密码是怎么获得的?solusvm记录的是明文?还是被黑后黑客放马拦截记录到的?还是md5什么的暴力得到的?
    vibbow
        53
    vibbow  
    OP
       2013-06-27 11:22:43 +08:00
    @tititake vps的root密码是明文
    tititake
        54
    tititake  
       2013-06-27 11:31:49 +08:00
    @vibbow 看来,每站一个用户名、一个密码、一个头像、一个邮箱才购安全。
    ElmerZhang
        55
    ElmerZhang  
       2013-06-27 14:22:17 +08:00
    @binux 我全Yes,买了个最小的VPS翻墙用的
    tititake
        56
    tititake  
       2013-06-28 21:09:51 +08:00 via Android
    再问个问题,chicago vps有说什么补偿方案吗?还是就这么过去了?
    vibbow
        57
    vibbow  
    OP
       2013-06-29 02:52:24 +08:00
    @tititake so far, no.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2889 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 12:14 · PVG 20:14 · LAX 04:14 · JFK 07:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.