Segera cek dan lindungi instalasi VestaCP anda!

Pakai VestaCP? Maka besar kemungkinan server anda dalam resiko tinggi dibobol hacker, apalagi kalau settingnya dibiarkan default. Bisa dikatakan saya agak telat beberapa hari menuliskan ini karena sedang melakukan troubleshooting droplet DigitalOcean yang dimatikan karena terpasang panel VestaCP.

Secara garis besar laporan dan diskusi celah keamanannya bisa dibaca di forum resminya disini: https://forum.vestacp.com/viewtopic.php?f=10&t=16556

Yang intinya, banyak VPS yang dilaporkan telah dibobol akses rootnya melalui VestaCP dan dijadikan botnet untuk melakukan DDoS. Dan ini semua terjadi secara otomatis karena alat yang dipakai mengincar port default panel admin Vesta (8083).

Bagaimana mengeceknya kalau server kita sudah jebol?
Cek apakah ada file berikut dalam cron:

/etc/cron.hourly/gcc.sh

Isinya seperti ini:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

Dan bisa scan dengan antivirus ClamAV:

clamscan -r -i /usr

Hasilnya kalau positif terinfeksi:

/usr/bin/tcfndpnals: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND

Solusi sementaranya adalah dengan membatasi akses port 8083 dengan password atau mengubah portnya.

Untuk solusi permanen, tim developer Vesta baru saja merilis patchnya, silahkan update instalasinya pada server anda: https://forum.vestacp.com/viewtopic.php?f=10&t=16556&start=260#p68893

  1. Bisa update lewat panel adminnya seperti biasa.
  2. Atau update lewat sistem operasi:
    • CentOS
      yum update
    • Debian/Ubuntu
      apt-get update && apt-get upgrade 
  3. Alternatifnya pakai Git:
    cd $(mktemp -d)
    git clone git://github.com/serghey-rodin/vesta.git
    /bin/cp -rf vesta/* /usr/local/vesta/

Segera lakukan updatenya karena ini berpengaruh besar pada keamanan server anda. Dan kalau anda pakai DigitalOcean mestinya down dari kemarin karena dishutdown oleh tim keamanan mereka, ini aksesnya harus lewat console mereka untuk memperbaikinya.

2 pemikiran pada “Segera cek dan lindungi instalasi VestaCP anda!

  1. untung kemarin yg di DO ga knp2.. tapi malah di virmach yg kena..

    oia proses ganti port itu harus tiket kemereka juga yah? soalnya udah coba ganti tetep ga bisa kebuka..

    Thanks 🙂

Tinggalkan komentar