Segera cek dan lindungi instalasi VestaCP anda!

Pakai VestaCP? Maka besar kemungkinan server anda dalam resiko tinggi dibobol hacker, apalagi kalau settingnya dibiarkan default. Bisa dikatakan saya agak telat beberapa hari menuliskan ini karena sedang melakukan troubleshooting droplet DigitalOcean yang dimatikan karena terpasang panel VestaCP.

Secara garis besar laporan dan diskusi celah keamanannya bisa dibaca di forum resminya disini: https://forum.vestacp.com/viewtopic.php?f=10&t=16556

Yang intinya, banyak VPS yang dilaporkan telah dibobol akses rootnya melalui VestaCP dan dijadikan botnet untuk melakukan DDoS. Dan ini semua terjadi secara otomatis karena alat yang dipakai mengincar port default panel admin Vesta (8083).

Bagaimana mengeceknya kalau server kita sudah jebol?
Cek apakah ada file berikut dalam cron:

/etc/cron.hourly/gcc.sh

Isinya seperti ini:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

Dan bisa scan dengan antivirus ClamAV:

clamscan -r -i /usr

Hasilnya kalau positif terinfeksi:

/usr/bin/tcfndpnals: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND

Solusi sementaranya adalah dengan membatasi akses port 8083 dengan password atau mengubah portnya.

Untuk solusi permanen, tim developer Vesta baru saja merilis patchnya, silahkan update instalasinya pada server anda: https://forum.vestacp.com/viewtopic.php?f=10&t=16556&start=260#p68893

  1. Bisa update lewat panel adminnya seperti biasa.
  2. Atau update lewat sistem operasi:
    • CentOS
      yum update
    • Debian/Ubuntu
      apt-get update && apt-get upgrade 
  3. Alternatifnya pakai Git:
    cd $(mktemp -d)
    git clone git://github.com/serghey-rodin/vesta.git
    /bin/cp -rf vesta/* /usr/local/vesta/

Segera lakukan updatenya karena ini berpengaruh besar pada keamanan server anda. Dan kalau anda pakai DigitalOcean mestinya down dari kemarin karena dishutdown oleh tim keamanan mereka, ini aksesnya harus lewat console mereka untuk memperbaikinya.

11 Comments

  1. untung kemarin yg di DO ga knp2.. tapi malah di virmach yg kena..

    oia proses ganti port itu harus tiket kemereka juga yah? soalnya udah coba ganti tetep ga bisa kebuka..

    Thanks 🙂

  2. kemarin awal april di vestacp ada semacam injex tp buat mining pool gitu…itu apa termasuk DDoS.
    lantas di suspen sama servernesia,katanya bisa up tapi data hilang….

    1. Bukan mas, lain lagi kalau itu.

      Yang disuspend ini saya bingung, servernesia bukan provider vps/hosting soalnya.

      1. Tidak ada backupnya mas? Ini tampaknya karena websitenya terinfeksi…

        Sekarang dalam keadaan mati? Sudah coba bisa diakses lewat emergency console dari panel VPSnya?

  3. mati total mas,data2 semua hilang.emergency console gak tahu mas. di menu dasbord nya yg ada tulisan suspent2 gitu aja…sekarang pindah di do .
    mau di vultr sebenar nya tp paypal vss nya expirit.

  4. Bermasalahnya ada folder /backup yang isinya file tmp dan memenuhi disk sampe 100%. Ternyata itu dari backup vesta. Apa pernah mengalami Mas? atau tau solusinya?

    Kalau saya unistall vesta baik lagi ga ya? resikonya apa uninstall vesta? Maklum newbie mas.

Tinggalkan Balasan ke sutriman Batalkan balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *