VestaCP存在的gcc.sh漏洞及检测、清除方法lsof -n |grep /tmp/update

VestaCP，本站推荐的web管理面板，现在被爆出漏洞，下面是检测、清除方法。所有命令均在SSH下运行：
1、首先确定是否被黑客入侵。如果显示 /etc/cron.hourly/gcc.sh ，表示已被种了木马。2、如果种了木马，备份所有数据3、阻止gcc.sh4、寻找木马
它有两个版本：一个称为update，第二个（更新）为随机生成的名称（如 ahzihydns，rangqpbjp）。
a、使用lsof寻找update木马类似update这样的进城，停止掉他们然后删除他们最后kill掉他们如果存在 /etc/init.d/update，删除。
最后，删除/lib/libudev.sob、删除随机的木马
这个比较难，先检查 usr/bin中是否有可以进程类似这样的进程，让我们尝试停止和删除进程。查看要删除的文件列表：删除/usr/bin/xmpwotmqnr，/usr/bin/lluoohrpal，还有/lib/libudev.so。
先停止先前的进程：检查/etc/init.d下是否有留下一些恶意代码。比如：如果有很多这样的文件，可通过find找到它们，然后删除5、使用clamav检查
Centos安装clamavDebian / Ubuntu安装clamav然后，开始扫描
clamscan -r -i /6、最后，还是建议登录IP使用指定IP。via：https://itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/