Lỗ hổng bảo mật nghiêm trọng trên VestaCP ngày 8/04/2018

+Chi tiết về vụ khai thác:

Do một lỗ hổng trong phần mềm VestaCP , một khai thác (Exploit) đang được sử dụng để truy cập root vào VPS hoặc máy chủ đang chạy phần mềm này. sau đó các hacker sẽ lợi dụng các máy chủ, VPS này để tạo các cuộc tấn công DDOS, đánh cắp dữ liệu…

Thông tin chi tiết tại diễn đàn VestaCP:

https://forum.vestacp.com/viewtopic.php?p=68594

+Làm thế nào tôi có thể kiểm tra nếu VPS hay máy chủ của tôi đã bị tấn công?

  1. Kiểm tra xem có tập tin gcc.sh trong thư mục cron.hourly hay không: /etc/cron.hourly/gcc.sh
  2. Cài đặt phần mềm quét virus và chạy trình quét tìm kết quả tương tự như: /lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND

+Tôi có thể làm những bước nào để ngăn VPS, máy chủ của tôi khỏi bị xâm nhập?

    1. Tạm dừng dịch vụ Vesta ngay bằng lệnh:

      CentOS 6
      $ service vesta stop 
      Hoặc Centos 7
      $ systemctl stop vesta
    2. Chặn Port admin mặc định 8083 của Vestacp

*WPAZ sẽ tiếp tục theo dõi và cập nhật thông tin mới nhất từ Vestacp cũng như bản vá nếu có ngay tại bài này, các bạn nên Ctrl+D để lưu đường dẫn này và theo dõi kịp thời. Cảm ơn.

** Cập nhật ngày 09/04/2018

  • Đã có phiên bản cập nhật mới, các bạn hãy đăng nhập SSH và chạy lệnh sau:
v-update-sys-vesta-all
  • Những ai đã bị dính thì có thể xem hướng dẫn khắc phục hoàn toàn ở tại liên kết sau:

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

Chia sẽ bài viết này:

Bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *