Skocz do zawartości
Gość nrm

[PILNE] SSHD Rootkit

Przez Gość nrm, w Bezpieczeństwo

Polecane posty

Gość nrm   

Gość nrm
Napisano

Ogólnoświatowa panika, a polskie WHT jak zwykle śpi.

 

Linki do dyskusji:

http://www.webhostingtalk.com/showthread.php?t=1235797

http://forums.cpanel.net/f185/sshd-rootkit-323962.html

 

Syf ładuje się do libkeyutils.so.1.9

 

1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'

Please follow the steps below to clear the expliot.

1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1 libkeyutils.so.1.3
6. Restart ssh
7. yum update kernel and Reboot to close any active connections

 

 

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość nrm   

Gość nrm
Napisano

Jest, jest. Temat na niemal każdym forum branżowym, RSS dzisiaj też tylko na jeden temat. To, że polskie WHT jest 100 lat za murzynami nie znaczy, że coś się na prawdę nie dzieje. Zresztą kwestii bezpieczeństwa nigdy nie należy lekceważyć, nawet jakby miała to być przesada.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Pan Kot    1535

Pan Kot
Napisano (edytowany)

Nie jest to panika ogólnoświatowa (serwerowa? :D) bo dotknięty jest jedynie CentOS i jedynie cPanel z tego co widzę, a przynajmniej nikt nie zgłasza zażaleń na innych systemach. Nie jest to więc wina serwera OpenSSH czy czegokolwiek co jest "wszędzie", a najzwyczajniej w świecie 0day na jakieś ustrojstwo w cPanelu czy CentOS'ie, który osobiście uważam za prehistorię pod względem świeżości pakietów.

 

Ile to się razy słyszy o najnowszym 0day'u na javę czy railsy? Jakoś nikt z tego powodu nie robi wielkich problemów, a tu mamy identyczną sytuację, tyle że wycelowaną w konkretne serwery ;).

 

P.S. Odpowiedni NIDS bez problemu wykryłby raz, że masową wysyłkę maili, a dwa zmodyfikowane pliki/bibliotekę, nawet śmieszny CSF wspiera opcję system integrity check, a nie jest nawet płatny.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość nrm   

Gość nrm
Napisano

bo dotknięty jest jedynie CentOS i jedynie cPanel z tego co widzę, a przynajmniej nikt nie zgłasza zażaleń na innych systemach.

 

Zgłasza.

 

"Potwierdzono, że problemy występują na dystrybucjach opartych na RHEL oraz przy panelach cPanel, DirectAdmin i Plesk"

 

http://niebezpiecznik.pl/post/backdoor-udajacy-biblioteke-ssh-sprawdzcie-swoje-systemy-pod-katem-libkeyutils-so-1-9/

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Pan Kot    1535

Pan Kot
Napisano (edytowany)

Pardon, chodziło mi o redhato-podobne, generalnie o to że jest tym dotknięty jeden konkretny OS/Panel, a nie wszystko.

 

Chociaż to też nie jest jeszcze pewne, ale coraz więcej wskazuje na to że to jakaś dziura redhatowa bo na żadnym debianie czy freebsd nic takiego nie znaleziono (utwierdza mnie to w przekonaniu, że sam sshd jest czysty).

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

mraw    30

mraw
Napisano

Czytałem namiętnie wątek na międzynarodowym wht, ale nikt nie stwierdził przyczyny na 100%.

Jedna teoria, że to wirus na windowsach administratorów, druga, że to przez zhakowany support cpanelu, a trzecia wersja jest taka, że to grupa hakerów włamuje się na serwery wykorzystując różne niezwiązane ze sobą luki i wgrywa tego rootkita.

 

Sprawa nie wyjaśniła się do końca, a jedynie trochę przycichła.

 

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Przejdź do listy tematów Bezpieczeństwo
×