Exploit di VestaCP
Setelah terakhir kali sukses menginstall VestaCP di Centos 7 ternyata ada berita gempar yang saat ini melanda para pengguna aktif VestaCP. Wajib baca para pengguna VestaCP yang lagi melihat ini.
Kejadian ini berawal ketika salah satu customer perusahaan tempat saya bekerja mengeluh websitenya sangat lemot dan terasa lamban koneksinya. Ketika di cek ternyata sungguh mengejutkan. Customer yang kebetulan menggunakan VestaCP control panel tersebut, di dalam servernya saya menemukan banyak proses aneh dan berpotensi merusak stabilitas performa website miliknya dan berpotensi merugikan pihak lain.
Curiga Exploit
Sejak saat itu saya melakukan pencarian apakah memang sistem dari VestaCP yang memang memiliki bug exploit ataukah dari faktor lain seperti website aplikasi si yang punya server. Setelah beberapa hari mencari akhirnya merucut ke forum vestacp.
Pada topik forum tersebut disebutkan bahwa ada seseorang penyedia VPS aktif dan beberapa customer VPS mereka terexploit. Sedangkan VPS yang tidak menggunakan VestaCP tidak terkena efeknya. Dari kebanyakan laporan, semua server ternyata melancarkan serangan xorddos yang sudah ter-exploit. Kamu bisa cek apa itu XorDDOS di wikipedia.
Penyelesaian
Untuk menyelesaikan permasalahan ini, kamu bisa scan dengan menggunakan clamscan pada server kamu. Atau bisa menggunakan syntax ini.
clamscan -r -i /usr
Jika kamu belum mempunyai clamscan, kamu harus install terlebih dahulu.
yum install clamav clamd
Update virus definition pada database clamav lalu mulai scan menggunakan command clamscan di atas tadi.
/usr/bin/freshclam
Namun demikian, masih belum ada penjelasan yang pasti dari pihak VestaCP sendiri mengapa hal tersebut bisa terjadi atau bagaimana system bisa terbobol. Jika terbukti system VestaCP mempunya bug exploit, berarti puluhan ribu server terancam bahaya.
File Mencurigakan
Jika kamu melakukan scan menggunakan clamscan, terdapat 2 file mencurigkan seperti :
/usr/bin/tcfndpnals /usr/lib/libudev.so
Menurut laporan dari beberapa user aktif di VestaCP forum, mereka menemukan file aneh lainnya pada crontab.
/etc/cron.hourly/gcc.sh
Isi scriptnya sebagai berikut :
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
Tidak hanya sampai di situ saja, ada beberapa file lainnya yang telah termodifikasi pada beberapa path tertentu. Kamu bisa cek beberapa file yang baru termodifikasi pada direktori :
/etc/init.d/
Kamu bisa cek dengan menggunakan command :
ls -lah /etc/init.d/
Dan masih banyak hal lainnya bisa kamu baca di forum VestaCP yang saya kasih di atas.
Solusi Sementara
Masih belum ada solusi permanent sejauh ini dari tim VestaCP. Namun ada beberapa cara yang ditawarkan oleh komunitas forum untuk mengatasi sementara permasalahan ini.
Kumpulan solusi dari komunitas forum VestaCP :
Disable beberapa PHP function yang berbahaya dan berpotensi server ke hack. Gunakan php.ini dan define :
disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,passthru,shell_exec,system,proc_open,popen,curl_multi_exec,show_source,
Semoga membantu.
