El siguiente es solo un comunicado de seguridad para todos los VPS, Cloud Server y Servidores Dedicados los cuales tengan instalados el panel de control Vesta (la empresa no ofrece Vesta como un panel de control o servicios asociados a Vesta, por lo tanto son solo clientes que hayan instalado ellos mismos el panel de control Vesta)
Se ha reportado un problema de seguridad de nivel crítico en los paneles de control Vesta. El exploit ya ha sido reportado y identificado por usuarios de alrededor del mundo, se puede seguir el caso aquí:
https://forum.vestacp.com/viewtopic.php?f=10&t=16556
https://forum.vestacp.com/viewtopic.php?t=16558
El exploit realiza ataques DDoS desde la máquinas infectadas a diversas IPs de destino del país China.
¿Cómo verificar si mi servicios esta comprometido?
- Verifique todos los cron jobs en su máquina en busca de actividad maliciosa. Específicamente, verifique el contenido del archivo /etc/cron.hourly/gcc.sh. como hemos visto a este cron particularmente afectado.
- Instale un software antivirus, ejecute un escaneo y luego busque cualquier resultado similar a /lib/libudev.so: Unix.Trojan.DDoS_XOR-1 ENCONTRADO
¿Cómo aseguro mi instalación de Vesta?
- Ya existe un parche de seguridad para el exploit mencionado. Se debe actualizar a la versión: 0.9.8-20.
- Bloquee las conexiones entrantes públicas al puerto 8083. Si es necesario, puede establecer conexiones mediante el uso de un túnel SSH.