欢迎光临
我们一直在努力
当前位置:沃园 > VPS优惠 > 正文

VestaCP存在的gcc.sh漏洞及检测、清除方法

2020-01-01 分类:VPS优惠 阅读(455) 评论(0)

VestaCP,本站推荐的web管理面板,现在被爆出漏洞,下面是检测、清除方法。

所有命令均在SSH下运行:
1、首先确定是否被黑客入侵。

find /etc -name gcc.sh -print

如果显示 /etc/cron.hourly/gcc.sh ,表示已被种了木马。

2、如果种了木马,备份所有数据

3、阻止gcc.sh

chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh; chattr +i /etc/crontab

4、寻找木马
它有两个版本:一个称为update,第二个(更新)为随机生成的名称(如 ahzihydns,rangqpbjp)。
a、使用lsof寻找update木马

lsof -n |grep /tmp/update

update 31116 root txt REG 253,2 625611 146301 /tmp/updateupdate 31116 31124 root txt REG 253,2 625611 146301 /tmp/updateupdate 31116 31125 root txt REG 253,2 625611 146301 /tmp/updateupdate 31116 31126 root txt REG 253,2 625611 146301 /tmp/update

类似update这样的进城,停止掉他们

kill -STOP 31116

然后删除他们

rm /tmp/update

最后kill掉他们

kill -9 31116

如果存在 /etc/init.d/update,删除。
最后,删除/lib/libudev.so

rm /lib/libudev.so

b、删除随机的木马
这个比较难,先检查 usr/bin中是否有可以进程

# ls -lt /usr/bin | head -20итого 171828-rwxr-xr-x 1 root root 625622 апр 4 00:01 xmpwotmqnr-rwxr-xr-x 1 root admin 625633 апр 3 23:55 lluoohrpal[...]

类似这样的进程,让我们尝试停止和删除进程。

kill -STOP `lsof -n | egrep \"625622|625633\" | grep -v deleted| awk \'{print $2}\' | uniq`

查看要删除的文件列表:

# lsof -n | egrep \"625622|625633\"xmpwotmqn 1120 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnrxmpwotmqn 1120 1169 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnrxmpwotmqn 1120 1170 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnrxmpwotmqn 1120 1171 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr

删除/usr/bin/xmpwotmqnr,/usr/bin/lluoohrpal,还有/lib/libudev.so。
先停止先前的进程:

kill -9 `lsof -n | egrep \"625622|625633\" | awk \'{print $2}\' | uniq`

检查/etc/init.d下是否有留下一些恶意代码。比如:

-rwxr-xr-x 1 root admin 323 апр 3 23:55 xbzrqmaaqo-rwxr-xr-x 1 root admin 323 апр 3 23:55 xdphzejxlx-rwxr-xr-x 1 root admin 323 апр 3 23:55 xdzluubldx

如果有很多这样的文件,可通过find找到它们,然后删除

find /etc/init.d/ -type f -size 323c -delete-rwxr-xr-x 1 root admin 323 апр 3 23:55 xgqggmacwf-rwxr-xr-x 1 root root 323 апр 8 13:50 xmpwotmqnr

5、使用clamav检查
Centos安装clamav

yum install clamav

Debian / Ubuntu安装clamav

apt-get install clamav

然后,开始扫描

clamscan -r -i /

6、最后,还是建议登录IP使用指定IP。

via:https://itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/

以上全文转自@主机百科

赞(0) 打赏
未经允许不得转载:沃园 » VestaCP存在的gcc.sh漏洞及检测、清除方法
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

评论前必须登录!

 

互动交流中心

QQ交流群号:253510359

投稿请联系QQ490898739

发送至邮箱490898739@qq.com

高性价比四川高防

创梦网络-四川高防服务器,无视UDP攻击

达州创梦网络-年中四川100G高防云主机月付仅60元,西南高防月付特价活动,以及物理机特价活动24核24G 50M仅299元/月,买到就是赚到!

赞助商家A区

热门文章

热门标签

便宜vps (8382)kvm (2670)洛杉矶 (1190)香港vps (1187)美国vps (1116)openvz (1056)KVM VPS (818)洛杉矶vps (800)xen (701)日本vps (569)高防vps (467)香港cn2 (422)腾讯云 (360)美国cn2 (343)CN2 GIA (317)OpenVz VPS (314)香港服务器 (304)新加坡vps (301)便宜服务器 (289)大硬盘vps (276)cloudcone (246)高防服务器 (244)国内云服务器 (242)云服务器 (232)香港云服务器 (225)RAKsmart (217)搬瓦工 (210)cn2 (191)windows vps (191)荷兰vps (176)

网站统计

  • 日志总数:14902
  • 标签总数:16866
  • 页面总数:8
  • 分类总数:17
  • 链接总数:10
  • 最后更新:2024-05-01

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续给力更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏