Kurze Sicherheitsinformation für Blog-Leser/innen, die VestaCP im Einsatz haben. Die Server, über die VestaCP ausgeliefert wurde, waren durch einen Angriff kompromittiert. Gleichzeitig wurden VPS und Root Server, die mit einer neuen Malware Linux/ChachaDDOS infiziert waren, für DDoS-Angriffe verwendet. Hier ein Überblick, was bekannt ist.
Anzeige
Was ist VestaCP?
Ich denke, die meisten Blog-Leser/innen werden keine Anknüpfungspunkte zu VestaCP haben. Es handelt sich um ein kostenfreies Control Panel, mit dem schnell und einfach ein Virtual Private Server (VPS) oder ein Root Server konfiguriert und administriert werden kann. Sebastian Widmann befasst sich hier mit VestaCP (Link gelöscht).
VPS und Root Server für DDoS-Angriffe benutzt
Was ist passiert? Sicherheitsforscher von ESET schreiben im welivesecurity-Blog in diesem Artikel, dass in den letzten Monaten zahlreiche Anwender von VPS und Root Servern eine Warnung von ihren Dienstanbietern erhalten hätten, dass ihre Server eine ungewöhnlich hohe Bandbreite nutzten. Gemeinsam war wohl allen Betroffenen, dass dort VestaCP zur Verwaltung verwendet wurde.
Inzwischen ist der Grund bekannt: Diese Server wurden zur Ausführung von DDoS-Angriffen verwendet. Die Analyse eines kompromittierten Servers ergab, dass dort eine Malware, die Eset Linux/ChachaDDoS nennt, installiert war. Auch wenn noch nicht alles klar ist, ergeben sich einige Verdachtsfälle, was passiert sein könnte.
Angriff auf VestaCP-Server
Der ESET Artikel im welivesecurity-Blog beschreibt nun, dass es einen Angriff auf die Infrastruktur-Server, die VestaCP ausliefern, gab. Im VestaCP-Forum wurde bestätigt, dass es einen Angriff auf die Infrastruktur-Server gab. Es wird geschrieben, dass faktisch alle Server mit VestaCP-Installationen betroffen sein könnten.
Anzeige
Es scheint, als ob das Ganze schon eine Weile läuft. Eset schreibt, dass es seit mindestens Mai 2018 zu einem Supply-Chain-Angriff auf neue Installationen von VestaCP kam. Inzwischen (Stand: 18. Oktober 2018) haben die VestaCP-Maintainer wohl eine saubere Version auf ihren Servern zum Download bereitgestellt.
Admin-Zugangsdaten abgefischt
Die Eset-Leute schreiben, dass die Administrator-Zugangsdaten von den betroffenen Servern abgefischt wurden, um dann den DDoS-Angriff fahren zu können. Es wird gemutmaßt, dass die betroffenen Server über VestaCP mit der Malware Linux/ChachaDDDoS infiziert und dann die Zugangsdaten abgezogen wurden. Aber eine 100%ige Bestätigung, dass die Linux/ChachaDDoS–Infektion dafür verantwortlich ist, scheint es noch nicht zu geben.
VestaCP-Nutzer sollten handeln
Betroffene Nutzer, die sich in der fraglichen Zeit, Mai bis Oktober 2018, ein VestaCP-Paket heruntergeladen und auf ihrem Servern installiert haben, müssen jetzt aktiv werden. Sie sollten überprüfen, ob die Server mit Linux/ChachaDDoS infiziert sind. Gleichzeitig empfiehlt die Kennwörter für die Admin-Anmeldung vorsorglich zu wechseln.
Angesichts dieses großen Passwort-Lecks fordern die Eset-Sicherheitsspezialisten alle VestaCP-Administratoren auf, das Admin-Passwort zu ändern und den Zugriff auf ihre Server zu verhindern. Details zu der ganzen Geschichte können VestaCP-Nutzer bei Eset oder hier nachlesen.
Anzeige