VestaCP存在的gcc.sh漏洞及检测、清除方法

08-27 3197阅读 0评论

Kdatacenter：$17.1/月/1G内存/100GB SSD 空间/1TB流量/1Gbps端口/KVM/韩国SK/直连；原生IP

VestaCP，本站推荐的web管理面板，现在被爆出漏洞，下面是检测、清除方法。

（图片来源网络，侵删）

所有命令均在SSH下运行：
1、首先确定是否被黑客入侵。

find /etc -name gcc.sh -print

如果显示 /etc/cron.hourly/gcc.sh ，表示已被种了木马。

2、如果种了木马，备份所有数据

3、阻止gcc.sh

chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr +i /etc/crontab

4、寻找木马
它有两个版本：一个称为update，第二个（更新）为随机生成的名称（如 ahzihydns，rangqpbjp）。
a、使用lsof寻找update木马

lsof -n |grep /tmp/update

update    31116                   root  txt       REG              253,2   625611     146301 /tmp/update
update    31116 31124             root  txt       REG              253,2   625611     146301 /tmp/update
update    31116 31125             root  txt       REG              253,2   625611     146301 /tmp/update
update    31116 31126             root  txt       REG              253,2   625611     146301 /tmp/update

类似update这样的进城，停止掉他们

kill -STOP 31116

然后删除他们

rm /tmp/update

最后kill掉他们

kill -9 31116

如果存在 /etc/init.d/update，删除。
最后，删除/lib/libudev.so

rm /lib/libudev.so

b、删除随机的木马
这个比较难，先检查 usr/bin中是否有可以进程

# ls -lt /usr/bin | head -20
итого 171828
-rwxr-xr-x 1 root root    625622 апр  4 00:01 xmpwotmqnr
-rwxr-xr-x 1 root admin   625633 апр  3 23:55 lluoohrpal
[...]

类似这样的进程，让我们尝试停止和删除进程。

kill -STOP `lsof -n | egrep "625622|625633" | grep -v deleted| awk '{print }' | uniq`

查看要删除的文件列表：

# lsof -n | egrep "625622|625633"
xmpwotmqn 1120         root  txt       REG              253,2    625622    1519267 /usr/bin/xmpwotmqnr
xmpwotmqn 1120 1169    root  txt       REG              253,2    625622    1519267 /usr/bin/xmpwotmqnr
xmpwotmqn 1120 1170    root  txt       REG              253,2    625622    1519267 /usr/bin/xmpwotmqnr
xmpwotmqn 1120 1171    root  txt       REG              253,2    625622    1519267 /usr/bin/xmpwotmqnr

删除/usr/bin/xmpwotmqnr，/usr/bin/lluoohrpal，还有/lib/libudev.so。
先停止先前的进程：

kill -9 `lsof -n | egrep "625622|625633" | awk '{print }' | uniq`

检查/etc/init.d下是否有留下一些恶意代码。比如：

-rwxr-xr-x  1 root admin   323 апр  3 23:55 xbzrqmaaqo
-rwxr-xr-x  1 root admin   323 апр  3 23:55 xdphzejxlx
-rwxr-xr-x  1 root admin   323 апр  3 23:55 xdzluubldx

如果有很多这样的文件，可通过find找到它们，然后删除

find /etc/init.d/ -type f -size 323c -delete
-rwxr-xr-x  1 root admin   323 апр  3 23:55 xgqggmacwf
-rwxr-xr-x  1 root root    323 апр  8 13:50 xmpwotmqnr

5、使用clamav检查
Centos安装clamav

yum install clamav

Debian / Ubuntu安装clamav

apt-get install clamav

然后，开始扫描
clamscan -r -i /

6、最后，还是建议登录IP使用指定IP。

via：https://itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/

相关阅读：

1、装完主机后系统怎么装(主机装机后怎么安装系统)

2、华为云服务器都开放的端口(华为云服务器端口开放访问不了)

3、主机电源定位架怎么安装视频（主机电源定位架怎么安装视频教程）

4、如何解析域名到指定端口（linux服务器，超简单，图文并茂）

5、电脑主机内置电池怎么安装呀（台式电脑内置电池怎么安装）

免责声明

1、本网站属于个人的非赢利性网站，转载的文章遵循原作者的版权声明。
2、本网站转载文章仅为传播更多信息之目的，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所
提供信息的准确性及可靠性，但不保证信息的正确性和完整性，且不对因信息的不正确或遗漏导致的任何
损失或损害承担责任。
3、任何透过本网站网页而链接及得到的资讯、产品及服务，本网站概不负责，亦不负任何法律责任。
4、本网站所刊发、转载的文章，其版权均归原作者所有，如其他媒体、网站或个人从本网下载使用，请在
转载有关文章时务必尊重该文章的著作权，保留本网注明的“稿件来源”，并白负版权等法律责任。

手机扫描二维码访问