Защита сервера от уязвимости VestaCP

Кратко об уязвимости

Уязвимость в программном обеспечении VestaCP позволяет получить root-доступ к серверу, на котором оно запущено. Эксплуатируемые серверы затем используются для DoS-атак на удаленные серверы, отправляя большие объемы трафика.

VestaCP описывает эту проблему здесь.

Что делается для устранения уязвимости?

Хостинг-провайдеры, чьи серверы используют VestaCP, работают над уменьшением трафика со взломанных серверов. Также они блокируют весь трафик на порт TCP 8083 (это порт по умолчанию, используемый VestaCP для запросов к API и аутентификации). Кроме того, провайдеры отключают сети на подмножестве серверов, которые могли использовать это программное обеспечение, в попытке избежать потенциального взлома или предотвратить отправку вредоносного трафика.

Vesta официально выпустила обновление, предназначенное для смягчения этой уязвимости.

Эти пакеты доступны через менеджеры пакетов или в свежей установке. Важно отметить, что это обновление предназначено для смягчения новых атак, оно не поможет вашей системе, если она уже была взломана. Потому рекомендуется создать новый экземпляр Vesta, а не обновлять старые системы.

Дисклеймер: Пока что эти пакеты не были протестированы 8host, потому мы не можем гарантировать, что уязвимость официально исправлена. Кроме того, в сети недостаточно информации о степени надежности патча. Это означает, что даже после установки патча сервер может все еще быть уязвимым. Пожалуйста, поищите дополнительную информацию о способах снижения риска взлома самостоятельно.

Если вы создаете новый экземпляр Vesta, рекомендуем вам поменять порт по умолчанию 8083. В нашем Информатории есть мануал, помогающий пользователям устанавливать VestaCP и переносить данные на новый сервер.

Читайте также: Установка VestaCP и миграция пользовательских данных

Как проверить сервер на предмет взлома?

Проверьте все задачи cron на вашем компьютере и убедитесь, что среди них нет вредоносных задач. В частности, проверьте содержимое файла /etc/cron.hourly/gcc.sh.

Установите антивирусное программное обеспечение, запустите сканирование и проверьте все результаты типа:

/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND

Как защитить сервер от взлома?

Остановите сервис Vesta:

service vesta stop
systemctl stop vesta

Заблокируйте публичные входящие подключения к порту 8083. При необходимости вы все равно можете устанавливать соединения с помощью туннеля SSH.

С помощью брандмауэра заблокируйте трафик, поступающий на SSH и панель управления VestaCP со всех IP-адресов, кроме вашего собственного IP-адреса, который вы используете для управления сервером.

Запустите новый сервер, переустановите панель управления и перенесите данные о пользователях с помощью мануала Установка VestaCP и миграция пользовательских данных.

Дополнительные меры безопасности

Компания Vesta обновила свои пакеты, но все еще есть шанс уязвимости (всегда есть вероятность, что система уязвима). В свете этой уязвимости мы рекомендуем принять следующие общие меры предосторожности, чтобы избежать взлома серверов. Взломанные серверы, как правило, используются для майнинга криптовалют или DoS атак, а это влияет на производительность сервера.

  • Измените все пароли по умолчанию на вашем установленном программном обеспечении (например, admin/admin), поскольку их легко угадать.
  • Включите локальный брандмауэр (например, iptables), чтобы заблокировать все входящие подключения по умолчанию и разрешать подключения только к портам, которые вы обслуживаете.
  • Настройте программное обеспечение для мониторинга, которое уведомит вас об использовании ресурсов сервера (процессора, пропускной способности и т.д.).
  • Убедитесь, что ваш пароль достаточно сложный (рекомендуем использовать пароли длиннее десяти символов).
  • Если возможно, обновите программное обеспечение, включив функции автоматического обновления.
  • Периодически просматривайте списки пользователей в /etc/passwd и /etc/shadow, чтобы обнаружить неизвестных пользователей.
  • Убедитесь, что пользователи, которым не нужен интерактивный доступ к консоли, имеют оболочку/usr/sbin/nologin или /bin/false в /etc/passwd -. Настройте программное обеспечение безопасности, такое как ossec или fail2ban.
Tags: