Третий день в Сети наблюдается массовый взлом серверов на базе Linux

отметили
75
человек
в архиве
Третий день в Сети наблюдается массовый взлом серверов на базе Linux
Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из доступных по сети сервисов. Среди взломанных систем отмечаются серверы на базе CentOS и другие дистрибутивы на основе пакетной базы RHEL 5 и 6, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, но пока не ясно могут ли они быть источником проникновения.

В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак.

Маловероятно, что вектор атаки связан с недавно обсуждаемой уязвимостю в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (при использовании CageFS маловероятна эксплуатация уязвимости в ядре для повышения привилегий). Среди атакованных систем также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Связанная со взломом активность была почищена из логов, но одному из пользователей удалось при помощи snoopy проанализировать действия злоумышленника, установившего бэкдор и почистившего логи.

Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).
Добавил suare suare 19 Февраля 2013
Комментарии участников:
ko2x
+2
ko2x, 19 Февраля 2013 , url
ну зачем тут, это же интимное. :)
fox-net
+2
fox-net, 20 Февраля 2013 , url
Про массовость вот я так и не понял откуда взято.
AdUser
+1
AdUser, 20 Февраля 2013 , url
Это сито, а не бубен.
fox-net
+1
fox-net, 20 Февраля 2013 , url
Аффтар хотел показать решето.
Ваш КЭП.
AdUser
+1
AdUser, 21 Февраля 2013 , url
Тогда вот так нагляднее =))
Дуршлаг.
indecline
0
indecline, 20 Февраля 2013 , url
речь идёт о файле /lib64/libkeyutils.so.1.9 или /lib/libkeyutils.so.1.9
Сообщается о наличии этого файла на 32- и 64-битных системах CentOS и CloudLinux, в основном с панелью cPanel, хотя в топике упоминается также и DirectAdmin и Plesk.

Как очистить:
cd /lib64/
rm libkeyutils.so.1.9
rm libkeyutils.so.1
ln -s libkeyutils.so.1.3 libkeyutils.so.1
yum reinstall keyutils-libs
yum update kernel
reboot


Модифицированный sshd отсылает пароли. Иногда с серверов начинается рассылка спама.

Есть случаи заражения SUSE. Многие считают, что проблема в cURL-е.
Вова Сергеев
+1
Вова Сергеев, 20 Февраля 2013 , url
Я тоже слышал, что проблема в cURL-е. Но все решаемо, так что не беда.


Войдите или станьте участником, чтобы комментировать