VestaCP の gcc.sh の脆弱性と検出および削除方法

VestaCP の gcc.sh の脆弱性と検出および削除方法

当サイトが推奨するWeb管理パネル「VestaCP」に脆弱性が発見されました。検出方法と削除方法をご紹介します。

すべてのコマンドは SSH で実行されます。
1. まず、ハッキングされたかどうかを判断します。

 find /etc -name gcc.sh -print

/etc/cron.hourly/gcc.sh が表示された場合、トロイの木馬が埋め込まれていることを意味します。

2. トロイの木馬がインストールされている場合は、すべてのデータをバックアップしてください

3. gcc.shをブロックする

chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh; chattr +i /etc/crontab

4. トロイの木馬を見つけます。トロイの木馬には 2 つのバージョンがあります。1 つは update と呼ばれ、もう 1 つ (update) にはランダムに生成された名前 (ahzihydns、rangqpbjp など) が付けられています。
a. lsofを使用してアップデートトロイの木馬を見つける

lsof -n |grep /tmp/update

 update 31116 root txt REG 253,2 625611 146301 /tmp/update update 31116 31124 root txt REG 253,2 625611 146301 /tmp/update update 31116 31125 root txt REG 253,2 625611 146301 /tmp/update update 31116 31126 root txt REG 253,2 625611 146301 /tmp/update

アップデートと同様に、都市への侵入を阻止する

kill -STOP 31116

削除する

rm /tmp/update

ついに彼らを殺した

kill -9 31116

/etc/init.d/update が存在する場合は削除します。
最後に、/lib/libudev.soを削除します。

 rm /lib/libudev.so

b. ランダムなトロイの木馬を削除するのはより困難です。まず、usr/bin にプロセスがあるかどうかを確認します。

 # ls -lt /usr/bin | head -20 итого 171828 -rwxr-xr-x 1 root root 625622 апр 4 00:01 xmpwotmqnr -rwxr-xr-x 1 root admin 625633 апр 3 23:55 lluoohrpal [...]

このようなプロセスは停止して削除してみましょう。

 kill -STOP `lsof -n | egrep "625622|625633" | grep -v deleted| awk '{print $2}' | uniq`

削除するファイルのリストを表示します。

 # lsof -n | egrep "625622|625633" xmpwotmqn 1120 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1169 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1170 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1171 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr

/usr/bin/xmpwotmqnr、/usr/bin/lluoohrpal、および/lib/libudev.soを削除します。
まず、前のプロセスを停止します。

 kill -9 `lsof -n | egrep "625622|625633" | awk '{print $2}' | uniq`

/etc/init.d に悪意のあるコードが残っていないかどうかを確認します。例えば:

 -rwxr-xr-x 1 root admin 323 апр 3 23:55 xbzrqmaaqo -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdphzejxlx -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdzluubldx

そのようなファイルが多数ある場合は、検索して削除することができます。

 find /etc/init.d/ -type f -size 323c -delete -rwxr-xr-x 1 root admin 323 апр 3 23:55 xgqggmacwf -rwxr-xr-x 1 root root 323 апр 8 13:50 xmpwotmqnr

5. clamavを使用して確認する
Centosにclamavをインストールする

yum install clamav

Debian/Ubuntuにclamavをインストールする

apt-get install clamav

次にスキャンを開始します
クラムスキャン -r -i /

6. 最後に、ログイン IP には指定された IP を使用することをお勧めします。

出典: https://itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/

<<:  LoveServers: 月額 5 ドル / メモリ 512 MB / スペース 250 GB / トラフィック 1 TB / KVM / 英国

>>:  VPS および独立サーバーに Baota Linux パネルをインストールするグラフィック チュートリアル

推薦する

Pyclouds: 9.9 元/月/512 MB メモリ/10 GB スペース/無制限トラフィック/1 Gbps ポート/NTA/KVM/カンザスシティ/ロサンゼルス/フィラデルフィア

中国商人のPycloudsは2020年初頭に設立され、ホスト百科事典でも何度か紹介されています。現在...

CloudCone: $12.95/年/512MB メモリ/15GB SSD スペース/5TB トラフィック/1Gbps ポート/KVM/ロサンゼルス

CloudCone は比較的アクティブなホスティング プロバイダーで、主にロサンゼルス MC VPS...

Centrio™: ワイルドカード SSL 2.50 ドル/年

注文リンク https://billing.centriohost.com/cart.php?a=a...

エンパイア ホスティング: 月額 5 ドル / 1GB RAM / 15GB ストレージ / 1TB 帯域幅 / Xen / ラスベガス / ダラス

アメリカのホスティング プロバイダーである Empire Hosting は、さまざまなホスティング...

日本のクラシックスーパー安定:古いブランドLand.toアプリケーションチュートリアル

デモ: http://xxoo.pa.land.to Land.toは日本では老舗の無料PHPスペー...

[ブラックフライデー] GorillaServers: ソルトレイクシティ専用サーバー、E3-1270、月額35ドル

GorillaServers は、2011 年に設立されたアメリカのホスティング プロバイダーです。...

Kuai Che Dao: 18.3 ドル/四半期/512 MB メモリ/10 GB SSD スペース/400 GB 帯域幅/50 Mbps-2 Gbps ポート/KVM/サンノゼ CN2 GIA/ドイツ CN2 GIA

中国の商人であるKuai Che Daoは、主にさまざまな種類のVPSを提供しています。現在、サンノ...

anyNode: $12/年/1GB/20GB SSD スペース/1TB 帯域幅/OpenVZ/マイアミ

anyNode は、Hostigation、ServerCrate、VortexUnit の 3 つ...

KrakenServers: 月額 60 ドル / 32GB RAM / 512GB SSD ハードドライブ / 無制限トラフィック / ロサンゼルス

アメリカのホスティングプロバイダーであるKrakenServersは、psychz.netのためにロ...

Payzaの登録と操作チュートリアル

Payzaについて: Payza は 2004 年に設立され、当初は AlertPay という名前で...

ドイツの VPS: 月額 3.99 ドル / メモリ 1GB / スペース 10GB / トラフィック 10TB / KVM / ドイツ

GermanVPSは、2006年に設立されたドイツのホスティングプロバイダーです。さまざまなVPS、...

LetBox: 月額 2.3 ドル / Ryzen 3900x / 1GB メモリ / 256GB スペース / 10TB トラフィック / 1Gbps ポート / KVM / ロサンゼルス / ニュージャージー

アメリカのホスティングプロバイダーである LetBox は、ホスティング百科事典で何度も紹介されてい...

RAKsmart: 499元/月/E3-1230/16GBメモリ/1TBハードドライブ/無制限トラフィック/100Mbps/サンノゼ/国内最適化

中国のホスティングプロバイダーである RAKsmart は、サンノゼのサーバーに重点を置いています。...