大规模VPS提供商数据泄露事件暴露了Virtualizor的严重缺陷，数千台服务器受到影响

针对虚拟专用服务器 (VPS) 提供商的大规模勒索软件攻击活动已永久破坏了多家主机公司的客户数据，攻击源头可追溯到广泛使用的 Virtualizor 管理面板中的一个严重漏洞。 

CloudCone、HostSlick 和 OuiHeberg 等公司已被确认为受害者，而至少还有八家使用相同基础设施的其他供应商仍面临更高的风险。

漏洞解释

CloudCone 已在客户支持工单中正式确认了严峻的现实：用户数据无法恢复。这家总部位于洛杉矶的服务提供商正在从头开始重建受影响的节点，而不是尝试恢复数据，这迫使客户重新安装系统并依赖他们自己的备份——如果他们有备份的话。该公司的状态页面显示，服务器自 1 月 30 日起一直处于离线状态，恢复工作的重点是恢复基础设施的运行，而不是挽救现有数据。

CloudCone 的支持团队在受影响用户分享的工单回复中写道： “攻击者利用漏洞入侵了我们的 VPS 服务器节点。攻击者已经攻破了与您的服务器关联的磁盘，导致磁盘上的数据无法恢复。”

攻击方法揭示了对 Virtualizor WHMCS 集成插件的复杂利用。 

根据LowEndTalk 社区的讨论，攻击者利用 Virtualizor 计费面板插件与其 API 通信方式中的漏洞，使他们能够在连接的虚拟机上执行未经授权的命令，而不会触发 SSH 日志等标准安全警报。

CloudCone的事件报告证实，此次入侵绕过了传统的访问控制。“证据表明，此次活动并非通过直接的SSH连接，而是通过管理层访问发起的，这也解释了为何没有发现异常的SSH登录记录，”该公司表示，并指出未经授权的脚本是通过管理界面在受影响的节点上执行的。

HostSlick报告称，其超过25%的基础设施受到感染。安全研究人员分析攻击模式后发现，Virtualizor与WHMCS（Web主机管理器完整解决方案）的集成是关键的薄弱环节。该漏洞允许攻击者提升权限并获得对虚拟机管理程序节点的管理控制权，从而能够一次性对所有托管虚拟机进行大规模加密。

此次安全漏洞的影响范围远不止已确认的受害者。使用 Virtualizor WHMCS 插件且被认为可能存在漏洞的服务提供商包括 ColoCloud、Virtono、SolidSEOVPS、Naranjatech、LittleCreek、DediRock、Chunkserv 和 RareCloud。安全专家敦促所有使用这些服务的客户立即备份数据。

此次攻击符合2026年令人担忧的趋势。Huntress 的研究表明，针对虚拟机管理程序的勒索软件攻击事件占比从2025年初的3%飙升至下半年的25%，虚拟化基础设施成为威胁行为者寻求以最小代价造成最大影响的主要目标。一个被攻破的虚拟机管理程序可以同时加密数十甚至数百台虚拟机——CloudCone 的客户就遭遇了这种情况。

此次攻击的时间点恰逢全球范围内虚拟化平台漏洞利用率上升。近期的攻击活动主要针对 VMware ESXi 漏洞，攻击者开发出复杂的工具包，突破虚拟机隔离，从而入侵主机系统。虽然 CloudCone 攻击涉及的软件不同，但攻击模式如出一辙：攻击者意识到，虚拟机管理程序是高价值目标，而传统的终端安全工具往往难以对其进行有效监控。

用户现在应该做什么

受影响服务提供商的客户：请立即将所有关键数据备份到外部存储设备。不要等待官方通知——安全研究人员强调，即使经过初步修复，受影响的基础设施仍可能存在漏洞。

对于更广泛的VPS用户群体：请为所有托管应用程序和数据库实施自动备份计划。安全专家建议对关键数据进行每小时备份，并在独立的基础设施上存储冗余副本。

CloudCone并未提供重建服务器的具体可用时间表，仅表示受影响的客户将收到直接的电子邮件通知。该公司强调，客户的个人数据和计费系统并未受到损害，只有虚拟机本身受到了影响。

此次事件凸显了廉价主机服务的残酷现实：低劣的基础设施伴随着严重的风险。但正如安全专家指出的那样，即使是高端主机服务商也面临着这些威胁。区别不在于价格，而在于准备工作——具体来说，就是你是否维护了独立于主机服务商的备份。

正如一位安全研究人员直言不讳地总结道：“你的数据百分百找不回来的。” 对于没有备份的客户来说，这种评估可谓是灾难性的准确。