VestaCP Güvenlik Açığı Duyurusu
Eski sürüm VestaCP’lerde kötü niyetli kişilerin /tmp dizinlerine erişerek aşağıdaki dosyaları çalıştırdıkları bildirildi. Ayrıca kendilerine sistemden sysroot adlı bir kullanıcı da oluşturdukları belirtildi.
İlgili VestaCP konusu; https://forum.vestacp.com/viewtopic.php?f=10&t=17183
Çalıştırılan zararlı yazılımlar ;
xmrig
gcc
Ne yapabilirsiniz?
Bu açık VestaCP panelin 0.9.8-22 versiyonunda giderildi. Ancak eski sürüm vesta panel kullanıyor iseniz aşağıdaki adımları izlemelisiniz!
Öncelikle zararlı yazılımları aşağıdaki komutlar ile siliniz (komutları sırası ile uygulayınız, yanlış dizin altında uygulamanız taktirde silinen verilerinizden cliaweb sorumlu değildir) ;
|
1 2 3 4 5 6 |
cd /root rm -rf config_* rm -rf gcc cd /tmp rm -rf * |
crontab dosyasına zamanlanmış görevde ekledikleri görülüyor, bu açıdan aşağıdaki komutu ssh dan yürüterek ekli olan satırı silin ;
|
1 |
crontab -e |
Çalışan zararlı yazılımları aşağıdaki komutlar ile durdurun ;
|
1 2 |
pkill xmrig pkill gcc |
SSH üzerinden aşağıdaki güncelleme komutlarını sırası ile çalıştırınız ;
|
1 2 |
yum -y update v-update-sys-vesta-all |
Ardından admin ve sysroot kullanıcılarının şifrelerinizi değiştirin ;
admin kullanıcısı için şifre değiştirme komutu ;
|
1 |
passwd admin |
sysroot kullanıcısı için şifre değiştirme komutu ;
|
1 |
passwd sysroot |
Bu işlemler sonrası servisleri yeniden başlatın
|
1 2 3 4 |
service httpd restart service nginx restart service php-fpm restart service vesta restart |
Son olarak ise sunucunuzu yeniden başlatın ;
|
1 |
reboot |
Bu işlemler sonrası sunucunuz daha güvenli olacaktır.
