Segera cek dan lindungi instalasi VestaCP anda!
Pakai VestaCP? Maka besar kemungkinan server anda dalam resiko tinggi dibobol hacker, apalagi kalau settingnya dibiarkan default. Bisa dikatakan saya agak telat beberapa hari menuliskan ini karena sedang melakukan troubleshooting droplet DigitalOcean yang dimatikan karena terpasang panel VestaCP.
Secara garis besar laporan dan diskusi celah keamanannya bisa dibaca di forum resminya disini: https://forum.vestacp.com/viewtopic.php?f=10&t=16556
Yang intinya, banyak VPS yang dilaporkan telah dibobol akses rootnya melalui VestaCP dan dijadikan botnet untuk melakukan DDoS. Dan ini semua terjadi secara otomatis karena alat yang dipakai mengincar port default panel admin Vesta (8083).
Bagaimana mengeceknya kalau server kita sudah jebol?
Cek apakah ada file berikut dalam cron:
/etc/cron.hourly/gcc.shIsinya seperti ini:
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6Dan bisa scan dengan antivirus ClamAV:
clamscan -r -i /usrHasilnya kalau positif terinfeksi:
/usr/bin/tcfndpnals: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUNDSolusi sementaranya adalah dengan membatasi akses port 8083 dengan password atau mengubah portnya.
Untuk solusi permanen, tim developer Vesta baru saja merilis patchnya, silahkan update instalasinya pada server anda: https://forum.vestacp.com/viewtopic.php?f=10&t=16556&start=260#p68893
- Bisa update lewat panel adminnya seperti biasa.
- Atau update lewat sistem operasi:
- Alternatifnya pakai Git:
cd $(mktemp -d) git clone git://github.com/serghey-rodin/vesta.git /bin/cp -rf vesta/* /usr/local/vesta/
Segera lakukan updatenya karena ini berpengaruh besar pada keamanan server anda. Dan kalau anda pakai DigitalOcean mestinya down dari kemarin karena dishutdown oleh tim keamanan mereka, ini aksesnya harus lewat console mereka untuk memperbaikinya.
