VestaCP, en popüler web hosting kontrol panellerinden biridir. VestaCP’nin,zeroday bir istismarla etkilendiğini bildirdi.
Vestacp forumunda VestaCP kurulumlarını bildiren bir çok kullanıcı saldırıya uğradı. VestaCP ekibi üyeleri vesta servisini kapatıp bir yama yayınlanaya kadar tekrar aktif etmemesini önerdi.
Güncellmeler;
1. İlk dalga 7 Nisan’da başladı. Sunucular /etc/cron.hourly/gcc.sh ile enfekte oldu.
2. Sistemsel kontrollerde bir zaafiyet olduğu anlaşıldı.
3. Saldırının VestaCP’den kaynaklanan bir zaafiyet nedeniyle yaşandığı anlaşıldı.
VestaCP ekibi vesta ve sistem kayıtlarında henüz bir iz bulamadı.
5. 7 Nisan’da enfekte olan sunucular, /usr/lib/libudev.so kullanılarak kötü amaçlı eylemler için kullanıldı.
VestaCP ekibinin bildirdiği gibi sorunu geçici olarak çözmek için VestaCP sunucunuzda önlem için aşağıdaki komutları uygulayın.
[#] cd /etc/cron.hourly
[#] rm -rf gcc.sh
[#] systemctl stop vesta && systemctl disable vesta
VestaCP panelinin önyüklemede başlamadığından emin olun (son komut Cent OS7’de bunu yapar) ve yönetici panelinizin (: 8083) yüklenmediğinden emin olun. İlgili komutlar geçici olarak çözüm sağlamaktadır.
Güncellemeler ile ilgili bilgi vermeye devam edeceğiz.
VestaCP Ekibi ilgili güvenlik problemi için güncelleme yayınladı. Aşağıdaki komut ile VestaCP kontrol panelinizi güncelleyebilirsiniz.
v-update-sys-vesta-all
