Новая критическая уязвимость панели управления VESTA
08 Apr 2018 | Автор: dd |В ночи коллега пожаловался на то что ему блокирнули аккаунт в хостинге Aruba за TCP SYN flood с одного из серверов.
Пикантности добавляло то, что у него в акке было 20 серверов, которые все благополучно ушли в оффлайн до понедельника.
Сегодня днем обнаружил ветку на форуме Vesta, где описывался подобный взлом хостинг сервера через, пока неизвестную, уязвимость панели управления Vesta. Далее злоумышленники грузят эксплоит и запускают дудосилку со скомпрометированного сервера.
Симптоматика взлома 100% загрузка CPU, забитый канал и наличие файла /etc/cron.hourly/gcc.sh
Clamav при сканировании обнаруживает файлы зараженные Unix.Trojan.DDoS_XOR-1
Пока оптимальный вариантом борьбы, по выпуска фикса уязвимости, является остановка сервиса Vesta:
# systemctl stop vesta && systemctl disable vesta
после обновления можно будет вернуть все в исходное состояние, через:
# systemctl enable vesta && systemctl start vesta
либо же можно ограничить доступ к рабочему порту Vesta через фаервол:
iptables -I INPUT -p tcp –dport 8083 -j DROP
В данный момент патч не готов, но команда Vesta работает на устранением уязвимости.
Если переставить зараженный сервер не вариант, то можно попробовать вылечить, опять же остановив предварительно весту:
Поскольку уязвимость касается файла /lib/libudev.so то необходимо изменить права к нему. Проделываем из рута, при желательно остановленной сетке:
# chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
удаляем все файлы, созданные в последний день-два из папок /etc/rc{0,1,2,3,4,5,6,S}.d файлы называются как то вроде S01XXXXX
удаляем из /etc/cron.hourly задачу для gcc.sh удаляем сам файл /etc/cron.hourly/gcc.sh и задаем права для crontab:
# sed ‘/gcc.sh/d’ /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
файлы S01xxxxxxxx или K8xxxxxxxx удаляем
перегружаем сервак без сетки, после чего можем вернуть права обратно
# chattr -i /lib /etc/crontab
З.Ы выпустили наконец патчик – для обновления следует запустить в консоли команду v-update-sys-vesta-all
либо обновиться из веб-морды панели, в разделе UPDATE