Кто в силах грамотно технически проконсультировать по данной проблеме? - Безопасность

В Сети зафиксирован массовый взлом серверов на базе Linux

IS Andrew · 2013-02-19T16:37:50.0000000Z

Третий день в Сети наблюдается массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из сетевых сервисов, сообщает opennet.ru. Среди взломанных систем отмечаются серверы на базе CentOS и другие дистрибутивы на основе пакетной базы RHEL 5 и 6, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, пока не ясно могут ли они быть источником проникновения. В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак. Маловероятно, что вектор атака связан с недавно обсуждаемой уязвимостю в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (при использовании CageFS маловероятна эксплуатация уязвимости в ядре для повышения привилегий). Среди атакованных система также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Связанная со взломом активность была почищена из логов, но одному из пользователей удалось при помощи snoopy проанализировать действия злоумышленника, установившего бэкдор и почистившего логи. Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9). Источник Мы уже сталкнулись с проблемами, проверяйте свои машинки. :dont:

194

ENELIS

22 февраля 2013, 17:28

#61

Так тут не только cpanel... DirectAdmin тоже...

С Уважением, ServerAstra.ru (https://serverastra.com) - VPS и выделенные сервера в Будапеште по выгодным ценам!

T

179

topmedia

22 февраля 2013, 18:31

#62

ENELIS:
Так тут не только cpanel... DirectAdmin тоже...

Это уже последствия. Админы сами рапространили заразу дальше.

Теоретически, кончено.

57

Kinekt

10 марта 2013, 19:08

#63

Кто в силах грамотно технически проконсультировать по данной проблеме? На одном моем сервере возникла данная проблема. ОС Дебиан, никаких панелей нет, вообще нет вебсервера там. Однако зараза пролезла. Не ясно откуда.

ПМ пожалуйста.

То работает, то нет. Создать образ системы Debian Посоветуйте панель управления хостингом

M

173

michaek

10 марта 2013, 19:09

#64

Kinekt, сменить пароли и ключи на всех серверах, этот реинстальнуть

57

Kinekt

10 марта 2013, 19:19

#65

Да это понятно.. Вопрос в том, как зараза попала и как защититься.

Нужны какие то превентивные меры.

M

173

michaek

10 марта 2013, 19:21

#66

Kinekt, пароль узнали каким-то образом, что непонятного? это не какая-то 0day уязвимость

57

Kinekt

10 марта 2013, 19:30

#67

http://community.solidshellsecurity.com/topic/27344-0day-linuxcentos-sshd-spam-exploit-%E2%80%94-libkeyutilsso19/

Вот собственно линк. Вроде как 0day это, Михаил.

Да и по этому линку делаю вывод, что дело в 0дей -

http://www.opennet.ru/opennews/art.shtml?num=36155

Доказательств обратного не могу узреть.

M

173

michaek

10 марта 2013, 19:58

#68

Kinekt:
http://community.solidshellsecurity....bkeyutilsso19/

Вот собственно линк. Вроде как 0day это, Михаил.

ерунда. там исследуют поведение уже подмененного sshd, естественно, оно будет не совсем стандартным

Kinekt:
Доказательств обратного не могу узреть.

писали же, что сломали суппорт cpanel, оттуда пароли. далее уже вторичные пароли/ключи с порученых серверов

http://arstechnica.com/security/2013/02/server-hack-prompts-call-for-cpanel-customers-to-take-immediate-action/

545

rustelekom

10 марта 2013, 20:01

#69

Это не в спанели дело (не только серверы с спанелью были атакованы и не только на Centos) . Скорее сочетаний факторов (пока неизвестных).

1

20% скидка на VPS в США, Нидерландах и Финляндии. Новые тарифы на AMD Ryzen 9950x с частотой до 5.7 ГГц со скидкой 40% RoboVPS https://www.robovps.biz

523

Den73

10 марта 2013, 20:04

#70

время покажет, пока конкретики нету, чего то русскоязычные не особо жалуются.

Переиграть и победить: как анализировать конкурентов для продвижения сайта

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи

В Сети зафиксирован массовый взлом серверов на базе Linux