Alcune importanti vulnerabilità in Cyberpanel hanno consentito a vari gruppi hacker di installare cryptominer e bloccare alcune funzionalità importanti dei server infettati.
Chiaramente il miglior corso d’azione è il ripristino da backup a una data precedente a quella della pubblicazione della vulnerabilità: in questo modo non è possibile che il backup sia infetto. Successivamente, si possono recuperare in modo più o meno automatizzato tutte le variazioni al server tra la data del backup e quella dell’infezione. Tuttavia questo non sempre è possibile, soprattutto se il server riceve aggiornamenti molto frequenti ed è molto visitato.
Nei server infetti ho osservato:
- l’installazione di un servizio per minare la criptovaluta Monero, con conseguente utilizzo elevatissimo della CPU
- la presenza di processi secondari per la trasmissione e ricezione di pacchetti di rete legati alla criptovaluta
- tentativi di comunicazione con server russi identificati da anni come malevoli
- il blocco di funzionalità importanti come apt e apt-get, per rendere più difficile la risoluzione dell’infezione
- la cancellazione del file di accesso alla console di Cyberpanel, risolto dopo la pulizia con il comando adminPass nuovapassword
Il file principale del processo di infezione era contenuto in /var/tmp/ e aveva nomi che cominciavano con zz e terminavano con 64 (es zzxc64). Oltre ai vari passaggi descritti in questo articolo, è stato utile leggere il log di avvio (comando journalctb -b ) e elencare i servizi con systemctl.
Alla pagina ufficiale dedicata a questo attacco si trova inoltre un utile comando per superare un errore relativo ai metadati durante l’aggiornamento di Cyberpanel in Ubuntu:
Issue Details:
You may see the following error message:
Encountered error while generating package metadata.
╰─> See above for output.
Solution:
To address this, execute the following command:
wget -O- https://raw.githubusercontent.com/shbs9/CPupgradebash/refs/heads/main/ubuntufix.sh | bash
Infine implementare delle blacklist nei firewall ha permesso di filtrare il traffico malevolo in entrata e in uscita dalle porte WAN.
Lascia un commento