[Alerta] VestaCP - O teu servidor pode ter sido comprometido!

[DonCorleone 173]

[Alerta] VestaCP - O teu servidor pode ter sido comprometido!

Alguns servidores VestaCP foram infectados com uma nova variedade de malware chamada Linux / ChachaDDOS.

**Traduzido para Português, quem preferir ler em Inglês, o artigo encontra-se no final do tópico



O provedor de um software de painel de hospedagem de código aberto admitiu ontem uma violação de segurança durante a qual um hacker desconhecido contaminou o código-fonte do projeto com um malware que registra senhas, conchas abertas e pode lançar ataques DDoS.

" Nosso servidor de infra-estrutura foi invadido ", disse um membro da equipe do Vesta Control Panel (VestaCP) ontem em um fórum." Os hackers alteraram todos os scripts de instalação para registrar a senha do administrador e [IP do servidor]. "

Um usuário que analisou o código fonte do VestaCP em seu repositório oficial do GitHub disse que o código malicioso foi adicionado em 31 de maio deste ano, e mais tarde removido duas semanas depois, em 13 de junho.

O código permitia que os invasores coletassem senhas de administrador para os servidores onde o painel de controle do Vesta estava instalado. Para evitar que o tráfego de servidores comprometidos parecesse suspeito, os invasores enviaram senhas de volta a um domínio oficial do VestaCP que, presumivelmente, ainda controlavam.

Os invasores então usaram essas senhas para acessar servidores comprometidos e instalar uma nova variedade de malware chamada Linux / ChachaDDoS - quebrada neste relatório da ESET divulgado hoje.

A ESET diz que o malware parece ser uma mistura de código tirado de diferentes tipos de malware, sendo a maioria parte de XOR, uma cepa de malware DDoS do Linux que foi identificada pela primeira vez no final de 2015 [1, 2].

O pesquisador da ESET Marc-Etienne M. Léveillé diz que o malware contém várias funções, mas os atacantes parecem ter usado apenas o recurso DDoS. Léveillé diz que observou algumas campanhas que instruíram servidores VestaCP comprometidos a lançar ataques contra dois IPs chineses.

Na verdade, foi essa função DDoS que expôs os servidores comprometidos em primeiro lugar, depois que os provedores de nuvem começaram a enviar notificações aos clientes de que seus servidores alugados estavam usando uma grande quantidade de largura de banda.

Os usuários que receberam esses avisos estão reclamando no fórum VestaCP e na mídia social desde meados de setembro.

Depois de semanas de silêncio, a equipe da VestaCP finalmente respondeu ontem, revelando que estava trabalhando com uma firma russa de segurança cibernética chamada Acturus Security para analisar as reclamações dos usuários no último mês.

A equipe liberou o VestaCP 0.9.8-23 hoje, uma liberação de segurança para o software Vesta Control Panel para resolver vários problemas de segurança que a Acturus relatou durante sua investigação.

Como a equipe do VestaCP também tinha acesso aos dados de IP e senha do servidor que os invasores enviavam de volta ao servidor, a empresa também criou um site que permite que os proprietários do servidor digitem o endereço IP do servidor e verifiquem se instalaram uma versão do VestaCP código de roubo de senhas.

"Se [o seu endereço IP] estiver lá, você deve trocar as senhas do administrador o mais rápido possível", disse a equipa da VestaCP. "Também, por favor, certifique-se de que não exista nenhum binário / usr / bin / dhcprenew instalado no seu servidor. Este binário é um trojan que é capaz de lançar um ataque DDoS remoto ou abrir um shell para o seu servidor."

Mas, apesar de seus esforços, a VestaCP também parece ter sofrido danos irreparáveis à reputação, já que alguns usuários simplesmente não acreditavam na explicação da empresa de que um hacker invadiu sua infraestrutura. Muitos usuários culparam o problema no próprio Vesta e alguns migraram seus servidores do VestaCP para uma bifurcação de projeto gerenciada por uma empresa belga.

O VestaCP é uma tecnologia de painel de hospedagem semelhante ao cPanel mais famoso que permite que as empresas de hospedagem ou desenvolvedores da Web implantem servidores da Web em um ritmo acelerado, dependendo da infraestrutura de TI personalizada que precisam executar.

Fonte: https://www.zdnet.com/article/open-source-web-hosting-software-compromised-with-ddos-malware/

Forum Oficial do Vesta (Anuncio): https://forum.vestacp.com/viewtopic.php?f=10&t=17641&start=180#p73907

Discussão acerca do VestaCP ter sido infectado: https://www.lowendtalk.com/discussion/152905/take-heed-vestacp#latest (Recomendo lerem!)

Edited November 2, 2018 by Pwn3d_x (see edit history)

[VMP. 202]

Felizmente não tenho instalações de VestaCP de antes de Junho 

[DonCorleone 173]

12 horas atrás, VMP. disse:

Felizmente não tenho instalações de VestaCP de antes de Junho 

O problema é que não foi só isso, alem disso muitos servidores seja de Metin2, ou outro qualquer usa este painel.

O Real problema encontra-se aqui: https://www.lowendtalk.com/discussion/152905/take-heed-vestacp

Edited November 3, 2018 by Pwn3d_x (see edit history)

[VMP. 202]

1 hora atrás, Pwn3d_x disse:

O problema é que não foi só isso, alem disso muitos servidores seja de Metin2, ou outro qualquer usa este painel.

O Real problema encontra-se aqui: https://www.lowendtalk.com/discussion/152905/take-heed-vestacp

 

[p0w3r0ff 3,802]

Nem todas instalações foram infectadas, em caso de dúvidas podem usar seguinte link https://vestacp.com/test/

isto só apanhou senhas de quem instalou recentemente. Tenho Vesta instalado em uma máquina já alguns anos e resultado foi este: IP is not affected.

partir de hoje começo olhar com outros olhos para esse painel porque não compreendo razão de eles guardarem o IP e login das máquinas ainda por cima guardam as passwords em plain text.

Cumprimentos