当サイトが推奨するWeb管理パネル「VestaCP」に脆弱性が発見されました。検出方法と削除方法をご紹介します。

すべてのコマンドは SSH で実行されます。
1. まず、ハッキングされたかどうかを判断します。

 find /etc -name gcc.sh -print

/etc/cron.hourly/gcc.sh が表示された場合、トロイの木馬が埋め込まれていることを意味します。

2. トロイの木馬がインストールされている場合は、すべてのデータをバックアップしてください

3. gcc.shをブロックする

chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh; chattr +i /etc/crontab

4. トロイの木馬を見つけます。トロイの木馬には 2 つのバージョンがあります。1 つは update と呼ばれ、もう 1 つ (update) にはランダムに生成された名前 (ahzihydns、rangqpbjp など) が付けられています。
a. lsofを使用してアップデートトロイの木馬を見つける

lsof -n |grep /tmp/update

 update 31116 root txt REG 253,2 625611 146301 /tmp/update update 31116 31124 root txt REG 253,2 625611 146301 /tmp/update update 31116 31125 root txt REG 253,2 625611 146301 /tmp/update update 31116 31126 root txt REG 253,2 625611 146301 /tmp/update

アップデートと同様に、都市への侵入を阻止する

kill -STOP 31116

削除する

rm /tmp/update

ついに彼らを殺した

kill -9 31116

/etc/init.d/update が存在する場合は削除します。
最後に、/lib/libudev.soを削除します。

 rm /lib/libudev.so

b. ランダムなトロイの木馬を削除するのはより困難です。まず、usr/bin にプロセスがあるかどうかを確認します。

 # ls -lt /usr/bin | head -20 итого 171828 -rwxr-xr-x 1 root root 625622 апр 4 00:01 xmpwotmqnr -rwxr-xr-x 1 root admin 625633 апр 3 23:55 lluoohrpal [...]

このようなプロセスは停止して削除してみましょう。

 kill -STOP `lsof -n | egrep "625622|625633" | grep -v deleted| awk '{print $2}' | uniq`

削除するファイルのリストを表示します。

 # lsof -n | egrep "625622|625633" xmpwotmqn 1120 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1169 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1170 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1171 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr

/usr/bin/xmpwotmqnr、/usr/bin/lluoohrpal、および/lib/libudev.soを削除します。
まず、前のプロセスを停止します。

 kill -9 `lsof -n | egrep "625622|625633" | awk '{print $2}' | uniq`

/etc/init.d に悪意のあるコードが残っていないかどうかを確認します。例えば：

 -rwxr-xr-x 1 root admin 323 апр 3 23:55 xbzrqmaaqo -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdphzejxlx -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdzluubldx

そのようなファイルが多数ある場合は、検索して削除することができます。

 find /etc/init.d/ -type f -size 323c -delete -rwxr-xr-x 1 root admin 323 апр 3 23:55 xgqggmacwf -rwxr-xr-x 1 root root 323 апр 8 13:50 xmpwotmqnr

5. clamavを使用して確認する
Centosにclamavをインストールする

yum install clamav

Debian/Ubuntuにclamavをインストールする

apt-get install clamav

次にスキャンを開始します
クラムスキャン -r -i /

6. 最後に、ログイン IP には指定された IP を使用することをお勧めします。

出典: https://itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/