Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
 Добавлено: 01/03/13 в 16:15 |
http://www.opennet.ru/opennews/art.shtml?num=36155
У кого нить завелись вошки?
| Цитата: | Третий день в Сети наблюдается массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из доступных по сети сервисов. Среди взломанных систем отмечаются серверы на базе CentOS и другие дистрибутивы на основе пакетной базы RHEL 5 и 6, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, но пока не ясно могут ли они быть источником проникновения.
В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участия в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак.
Маловероятно, что вектор атаки связан с недавно обсуждаемой уязвимостью в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (при использовании CageFS маловероятна эксплуатация уязвимости в ядре для повышения привилегий). Среди атакованных систем также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Связанная со взломом активность была почищена из логов, но одному из пользователей удалось при помощи snoopy проанализировать действия злоумышленника, установившего бэкдор и почистившего логи.
Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).
Дополнение: Проблема выходит за рамки специфики дистрибутивов на пакетной базе RHEL. По сообщениям в форуме webhosting - зарегистрировано внедрение бэкдора в SUSE Enterprise Linux и Debian GNU/Linux:
Debian Squeeze w/ Xen 4.0
root@vhost01 /lib64 # lsof libkeyutils.so.1.9
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 2637 root mem REG 253,0 27928 1052300 libkeyutils.so.1.9
root@vhost01 /lib64 # ls -l libkey*
lrwxrwxrwx 1 root root 18 Nov 16 22:05 libkeyutils.so.1 -> libkeyutils.so.1.9
-rw-r--r-- 1 root root 8.4K Apr 3 2010 libkeyutils.so.1.3
-rw-r--r-- 1 root root 28K Apr 3 2010 libkeyutils.so.1.9
|
|
|
|
|
| |
С нами с 24.10.04
Сообщения: 18881
Рейтинг: 9010
 
|
| Добавлено: 01/03/13 в 17:06 |
| Код: |
[root@host ~]# locate libkeyutils
/lib64/libkeyutils.so.1
/lib64/libkeyutils.so.1.3
|
меня взломали? 
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 01/03/13 в 17:08 |
Там libkeyutils.so.1.9 и он в списке процессов должен быть по lsof
# lsof libkeyutils.so.1.9
|
|
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
