• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:329

VestaCP(Vesta Control Panel)是一種類似於更知名的cPanel的Web控制面板技術，提供使用者視覺化的網頁主機環境控制介面開源軟體，允許託管公司或Web開發人員快速推出Web伺服器，具體取決於他們需要運行的自定義IT基礎架構。

VestaCP近日承認因安全漏洞，遭不知名的駭客透過惡意軟體感染專案的原始碼，該惡意軟體會記錄密碼以及開啟Shell，並且可以發起DDoS攻擊。

VestaCP團隊成員10月17日在一個論壇帖子中表示他們的伺服器遭駭，駭客更改了所有安裝腳本以記錄管理員密碼和伺服器IP，在其官方GitHub存儲庫上分析VestaCP原始碼的用戶說，惡意代碼是在今年5月31日添加的，後來在兩週後於6月13日被刪除。

該代碼可讓攻擊者收集已安裝VestaCP的伺服器的管理員密碼。為了避免受感染伺服器的流量看起來可疑，攻擊者將密碼發送回可能攻擊者可以控制的官方VestaCP網域，然後攻擊者使用這些密碼存取受感染的伺服器，並在今天發布的ESET報告中安裝了一個名為Linux / ChachaDDoS的新惡意軟體。

ESET表示，惡意軟體似乎是來自不同惡意軟體的混合代碼，其中大部分來自XOR，這是一種Linux DDoS惡意軟體應用程式，最初於2015年底被發現。

ESET研究員Marc-EtienneM.Léveillé表示，惡意軟體包含各種功能，但攻擊者似乎只使用了DDoS功能。 Léveillé說，他觀察到一些活動指示遭駭的VestaCP伺服器發起針對兩個中國IP的攻擊。

事實上，在雲端供應商開始向客戶發送通知他們租用的伺服器使用大量頻寬之後，才使這DDoS功能暴露了受感染的伺服器。

自9月中旬以來，收到這些警告的用戶一直在VestaCP論壇和社交媒體上投訴。經過數週後VestaCP團隊回覆正與一家名為Acturus Security的俄羅斯網路安全公司合作，分析過去一個月的用戶投訴。

工作人員8月18日發布了VestaCP 0.9.8-23，並稱是VestaCP軟體的安全版本，用於解決Acturus調查期間報告的各種安全問題。

由於VestaCP團隊還可以存取攻擊者發送回伺服器的伺服器IP和密碼資料，該公司建立一個網站，讓伺服器所有者輸入伺服器的IP地址，以查看該伺服器是否安裝了有密碼竊取代碼的VestaCP版本。

VestaCP團隊表示如果查詢符合，應該盡快更改管理員密碼，另外應確保伺服器上沒有安裝/ usr / bin / dhcprenew二進制檔案，這個二進製檔案是某種能夠啟動遠端DDoS攻擊或打開shell到伺服器的木馬程式。

參考連結：

https://www.zdnet.com/article/open-source-web-hosting-software-compromised-with-ddos-malware/
https://www.welivesecurity.com/2018/10/18/new-linux-chachaddos-malware-distributed-servers-vestacp-installed/
https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=180#p73907
https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=170#p73890
https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=180#p73920
https://twitter.com/vestacp/status/1044456891504562176
http://vestacp.com/test/?ip=