VestaCP の gcc.sh の脆弱性と検出および削除方法

VestaCP の gcc.sh の脆弱性と検出および削除方法

当サイトが推奨するWeb管理パネル「VestaCP」に脆弱性が発見されました。検出方法と削除方法をご紹介します。

すべてのコマンドは SSH で実行されます。
1. まず、ハッキングされたかどうかを判断します。

 find /etc -name gcc.sh -print

/etc/cron.hourly/gcc.sh が表示された場合、トロイの木馬が埋め込まれていることを意味します。

2. トロイの木馬がインストールされている場合は、すべてのデータをバックアップしてください

3. gcc.shをブロックする

chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh; chattr +i /etc/crontab

4. トロイの木馬を見つけます。トロイの木馬には 2 つのバージョンがあります。1 つは update と呼ばれ、もう 1 つ (update) にはランダムに生成された名前 (ahzihydns、rangqpbjp など) が付けられています。
a. lsofを使用してアップデートトロイの木馬を見つける

lsof -n |grep /tmp/update

 update 31116 root txt REG 253,2 625611 146301 /tmp/update update 31116 31124 root txt REG 253,2 625611 146301 /tmp/update update 31116 31125 root txt REG 253,2 625611 146301 /tmp/update update 31116 31126 root txt REG 253,2 625611 146301 /tmp/update

アップデートと同様に、都市への侵入を阻止する

kill -STOP 31116

削除する

rm /tmp/update

ついに彼らを殺した

kill -9 31116

/etc/init.d/update が存在する場合は削除します。
最後に、/lib/libudev.soを削除します。

 rm /lib/libudev.so

b. ランダムなトロイの木馬を削除するのはより困難です。まず、usr/bin にプロセスがあるかどうかを確認します。

 # ls -lt /usr/bin | head -20 итого 171828 -rwxr-xr-x 1 root root 625622 апр 4 00:01 xmpwotmqnr -rwxr-xr-x 1 root admin 625633 апр 3 23:55 lluoohrpal [...]

このようなプロセスは停止して削除してみましょう。

 kill -STOP `lsof -n | egrep "625622|625633" | grep -v deleted| awk '{print $2}' | uniq`

削除するファイルのリストを表示します。

 # lsof -n | egrep "625622|625633" xmpwotmqn 1120 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1169 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1170 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1171 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr

/usr/bin/xmpwotmqnr、/usr/bin/lluoohrpal、および/lib/libudev.soを削除します。
まず、前のプロセスを停止します。

 kill -9 `lsof -n | egrep "625622|625633" | awk '{print $2}' | uniq`

/etc/init.d に悪意のあるコードが残っていないかどうかを確認します。例えば:

 -rwxr-xr-x 1 root admin 323 апр 3 23:55 xbzrqmaaqo -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdphzejxlx -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdzluubldx

そのようなファイルが多数ある場合は、検索して削除することができます。

 find /etc/init.d/ -type f -size 323c -delete -rwxr-xr-x 1 root admin 323 апр 3 23:55 xgqggmacwf -rwxr-xr-x 1 root root 323 апр 8 13:50 xmpwotmqnr

5. clamavを使用して確認する
Centosにclamavをインストールする

yum install clamav

Debian/Ubuntuにclamavをインストールする

apt-get install clamav

次にスキャンを開始します
クラムスキャン -r -i /

6. 最後に、ログイン IP には指定された IP を使用することをお勧めします。

出典: https://itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/

<<:  LoveServers: 月額 5 ドル / メモリ 512 MB / スペース 250 GB / トラフィック 1 TB / KVM / 英国

>>:  VPS および独立サーバーに Baota Linux パネルをインストールするグラフィック チュートリアル

推薦する

LetBox: 月額 55 ドル / E3-1230 / 32GB メモリ / 960GB SSD ハードドライブ / 20TB トラフィック / 無料 IPMI / ロサンゼルス

LetBox では、以下の通り特別価格のサーバーを発売いたしました。無料の IPMI。 CPU: E...

Enoctus: 月額 3 ドル / メモリ 1GB / SSD スペース 15GB / 帯域幅 1TB / KVM / 香港 / 英国

英国のホスティング会社で、正式に登録された会社 (10478363) である Enoctus は、D...

Afocloud: 2888元/月/2コア/4GBメモリ/50GBスペース/無制限トラフィック/1Gbps/KVM/マカオCTM

中国のホスティングプロバイダーであるAfocloudは昨年設立され、主に大規模な帯域幅と無制限のトラ...

GreenCloudVPS: 90 ドル/2 年/4GB メモリ/1TB スペース/1.5TB トラフィック/1Gbps ポート/KVM/東京、日本/大阪、日本/シンガポール

海外のホスティングプロバイダーであるGreenCloudVPSは、多くのVPSデータセンターを保有し...

HOSTBD24: 元旦特別VPS、最低年額5ドル、256MBのメモリ

HOSTBD24、ロサンゼルス、優れた国内速度。これまでは特別価格パッケージが3つのみでしたが、この...

BandwagonHost: 月額 2.88 ドル / 512 MB RAM / 10 GB SSD スペース / 500 GB 帯域幅 / KVM / ロサンゼルス

アメリカのホスティングプロバイダーである Bandwagonhost は、その低価格と安定性で常に有...

ExCloud: 239元/月/2Gメモリ/20GB SSDスペース/20TBトラフィック/500Mbps-2Gbpsポート/ネイティブIP/KVM/シアトル

ExCloudは2018年に設立された中国商社で、深セン-香港IPLC、上海-日本IPLC、上海-韓...

DirectSpace VPS 30% オフクーポンコード

DirectSpace の VPS は優れており、使用する価値があります。詳しい紹介: http:/...

X3host: $25/年/2GB RAM/150GB ストレージ/無制限トラフィック/OpenVZ/フェニックス/ニューヨーク

アメリカのホスティングプロバイダーであるX3hostは、新しく設立されたようです。仮想ホスティング、...

HostingUA: 月額 18.6 ドル / Sempron LE 1150 / 2GB RAM / 160GB ストレージ / 無制限トラフィック / ウクライナ

HostingUA はウクライナのホスティング会社で、2006 年 4 月に設立されました。VPS、...

Hosticated: 年間 26 ドル/2GB RAM/85GB ストレージ/無制限帯域幅/Phoenix/無料 cPanel/WHM

新しく設立されたホスティングプロバイダーであるHosticatedについては、以前にも紹介しました。...

OVH VPS Windows システムのインストールチュートリアル

Windows マシンは必要なく、単なる再版ですが、ネットユーザーは全員成功しています。 1. 80...

StallionHost: $6.5/年/128MB/5GBのスペース/300GBのトラフィック/OpenVZ

StallionHost は 2013 年に設立されたアメリカのホスティング会社です。仮想ホスティ...

イーサネットサーバー: $12/年/1GB メモリ/30GB SSD スペース/1TB トラフィック/1Gbps/DDOS/OpenVZ/ロサンゼルス/ニュージャージー

米国のホスティング会社である Ethernetserver は、正式に登録された会社 (会社番号 0...