Saturday 7th April 2018

Datacenter Chile Solo VPS y Cloud Server con panel de control Vesta

El siguiente es solo un comunicado de seguridad para todos los VPS, Cloud Server y Servidores Dedicados los cuales tengan instalados el panel de control Vesta (la empresa no ofrece Vesta como un panel de control o servicios asociados a Vesta, por lo tanto son solo clientes que hayan instalado ellos mismos el panel de control Vesta)

Se ha reportado un problema de seguridad de nivel crítico en los paneles de control Vesta. El exploit ya ha sido reportado y identificado por usuarios de alrededor del mundo, se puede seguir el caso aquí:

https://forum.vestacp.com/viewtopic.php?f=10&t=16556 https://forum.vestacp.com/viewtopic.php?t=16558

El exploit realiza ataques DDoS desde la máquinas infectadas a diversas IPs de destino del país China.

¿Cómo verificar si mi servicios esta comprometido?

  1. Verifique todos los cron jobs en su máquina en busca de actividad maliciosa. Específicamente, verifique el contenido del archivo /etc/cron.hourly/gcc.sh. como hemos visto a este cron particularmente afectado.
  2. Instale un software antivirus, ejecute un escaneo y luego busque cualquier resultado similar a /lib/libudev.so: Unix.Trojan.DDoS_XOR-1 ENCONTRADO

¿Cómo aseguro mi instalación de Vesta?

  1. Ya existe un parche de seguridad para el exploit mencionado. Se debe actualizar a la versión: 0.9.8-20.
  2. Bloquee las conexiones entrantes públicas al puerto 8083. Si es necesario, puede establecer conexiones mediante el uso de un túnel SSH.