VestaCP の gcc.sh の脆弱性と検出および削除方法

当サイトが推奨するWeb管理パネル「VestaCP」に脆弱性が発見されました。検出方法と削除方法をご紹介します。

すべてのコマンドは SSH で実行されます。
1. まず、ハッキングされたかどうかを判断します。

 find /etc -name gcc.sh -print

/etc/cron.hourly/gcc.sh が表示された場合、トロイの木馬が埋め込まれていることを意味します。

2. トロイの木馬がインストールされている場合は、すべてのデータをバックアップしてください

3. gcc.shをブロックする

chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh; chattr +i /etc/crontab

4. トロイの木馬を見つけます。トロイの木馬には 2 つのバージョンがあります。1 つは update と呼ばれ、もう 1 つ (update) にはランダムに生成された名前 (ahzihydns、rangqpbjp など) が付けられています。
a. lsofを使用してアップデートトロイの木馬を見つける

lsof -n |grep /tmp/update

 update 31116 root txt REG 253,2 625611 146301 /tmp/update update 31116 31124 root txt REG 253,2 625611 146301 /tmp/update update 31116 31125 root txt REG 253,2 625611 146301 /tmp/update update 31116 31126 root txt REG 253,2 625611 146301 /tmp/update

アップデートと同様に、都市への侵入を阻止する

kill -STOP 31116

削除する

rm /tmp/update

ついに彼らを殺した

kill -9 31116

/etc/init.d/update が存在する場合は削除します。
最後に、/lib/libudev.soを削除します。

 rm /lib/libudev.so

b. ランダムなトロイの木馬を削除するのはより困難です。まず、usr/bin にプロセスがあるかどうかを確認します。

 # ls -lt /usr/bin | head -20 итого 171828 -rwxr-xr-x 1 root root 625622 апр 4 00:01 xmpwotmqnr -rwxr-xr-x 1 root admin 625633 апр 3 23:55 lluoohrpal [...]

このようなプロセスは停止して削除してみましょう。

 kill -STOP `lsof -n | egrep "625622|625633" | grep -v deleted| awk '{print $2}' | uniq`

削除するファイルのリストを表示します。

 # lsof -n | egrep "625622|625633" xmpwotmqn 1120 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1169 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1170 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1171 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr

/usr/bin/xmpwotmqnr、/usr/bin/lluoohrpal、および/lib/libudev.soを削除します。
まず、前のプロセスを停止します。

 kill -9 `lsof -n | egrep "625622|625633" | awk '{print $2}' | uniq`

/etc/init.d に悪意のあるコードが残っていないかどうかを確認します。例えば：

 -rwxr-xr-x 1 root admin 323 апр 3 23:55 xbzrqmaaqo -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdphzejxlx -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdzluubldx

そのようなファイルが多数ある場合は、検索して削除することができます。

 find /etc/init.d/ -type f -size 323c -delete -rwxr-xr-x 1 root admin 323 апр 3 23:55 xgqggmacwf -rwxr-xr-x 1 root root 323 апр 8 13:50 xmpwotmqnr

5. clamavを使用して確認する
Centosにclamavをインストールする

yum install clamav

Debian/Ubuntuにclamavをインストールする

apt-get install clamav

次にスキャンを開始します
クラムスキャン -r -i /

6. 最後に、ログイン IP には指定された IP を使用することをお勧めします。

出典: https://itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/

<<: LoveServers: 月額 5 ドル / メモリ 512 MB / スペース 250 GB / トラフィック 1 TB / KVM / 英国

Webサイト

VestaCP の gcc.sh の脆弱性と検出および削除方法

lsof -n |grep /tmp/update

Rittalの携帯電話はいかがでしょうか？ Rittal 携帯電話のレビューとウェブサイト情報

アル・アラムはどうですか？アル・アラム新聞のレビューとウェブサイト情報

Huafeng.comはどうですか？ Huafeng.comのレビューとウェブサイト情報

K-Swissはどうですか？ K-Swissのレビューとウェブサイト情報

SSL: PositiveSSL 3年 8.3 ドル、PositiveSSL ワイルドカード 4年 30.88 ドル

fastpipe: 月額 3.49 ユーロ / メモリ 1GB / スペース 10GB / トラフィック無制限 / 10Gbit / DDOS / KVM / ドイツ

Kuai Che Dao: 月額 5.24 ドル / メモリ 2GB / SAS スペース 120GB / トラフィック 5TB / 200Mbps / KVM / Fremont

666clouds: 28元/月/512MBメモリ/15GB SSDハードディスク/500GBトラフィック/15Mbps-50Mbpsポート/DDOS/KVM/ロサンゼルスセラCN2 GIA

Dediserve: 月額 10 ユーロ/2GB RAM/50GB SSD スペース/1TB 帯域幅/KVM/Vienna cn2

モスクワ・チャイコフスキー音楽院はどうですか？モスクワチャイコフスキー音楽院のレビューとウェブサイト情報

推薦する

ユトレヒト応用科学大学はどうですか？ユトレヒト応用科学大学のレビューとウェブサイト情報

私の国はどうですか？私の国のレビューとウェブサイト情報

デルフト工科大学はどうですか？デルフト工科大学のレビューとウェブサイト情報

Chrome ブラウザの拡張機能とスキンが中国で利用可能に

[ブラックフライデー] Gestion DBI: ロサンゼルス/英国 VPS、128MB RAM、年間 4 ドル

Hostodo: 月額 10 ドル / 8GB RAM / 300GB スペース / 10 IPv4 / 8 TB トラフィック / OpenVZ / ロサンゼルス

イギリスのエコノミスト誌はどうですか？英国エコノミスト誌のレビューとウェブサイト情報

マクセルはどうですか？ Maxell_Maxellのレビューとウェブサイト情報

日本通運株式会社はどうでしょうか？日本通運株式会社の口コミ・ウェブサイト情報

ScoHosting: 30 ユーロ/年/512MB RAM/7GB NVMe スペース/1TB 帯域幅/1Gbps ポート/DDOS/KVM/ニュージャージー/フランス

安価な SSL 証明書コレクション

PhotonVPS 20% オフクーポンコード

LookSmartはどうですか? LookSmartのレビューとウェブサイト情報

Huawei Cloud：CDNサービス、国内・国際回線あり、国内トラフィック500GB、年間71元

drServer: 月額 16 ドル / Atom C2750 / 16GB RAM / 2TB SSHD / 無制限トラフィック / ダラス