اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

**nginxweb** · February 20th, 2013, 15:15

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

**rezaonline.net** · February 20th, 2013, 15:21

کد:

cupsd       762        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd        805        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
whoopsie   1058    whoopsie  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2482        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2483        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2484        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2486        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2487        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd      22379        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd      22524 hostnetwork  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4

دستور

کد:

strings /lib/i386-linux-gnu/libkeyutils.so.1.4

یه سری چیزا توش نوشته الان چه جوری بفهمم آلوده شده یا نه ؟
سیستم عامل اوبونتو 12.4

**nginxweb** · February 20th, 2013, 15:26

نوشته اصلی توسط rezaonline.net

کد:

cupsd       762        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd        805        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
whoopsie   1058    whoopsie  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2482        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2483        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2484        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2486        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd  2487        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd      22379        root  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd      22524 hostnetwork  mem       REG        8,1    13672     393313 /lib/i386-linux-gnu/libkeyutils.so.1.4

دستور

کد:

strings /lib/i386-linux-gnu/libkeyutils.so.1.4

یه سری چیزا توش نوشته الان چه جوری بفهمم آلوده شده یا نه ؟
سیستم عامل اوبونتو 12.4

ظاهراه سیستم شما 32 بیتی هستش
متاسفانه debian هم آلوده کرده این maleware خانمان سوز جهت تست دستور زیرو وارد کنید:

کد:

strings /lib/i386-linux-gnu/libkeyutils.so.1.4

سپس 20 خطر اخر رو بییند آیا چیزی شبیه زیر هستش؟

کد:

p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
 1&:?
pm.:?
 i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?

**DVBBaz** · February 20th, 2013, 17:00

نوشته اصلی توسط nginxweb

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

 strings /lib64/libkeyutils.so.1.3

حالا باید محتوا چی باشه تا بفهمیم آلوده شده سرور ؟

**noyfound** · February 20th, 2013, 17:31

دوستان به جای اينكه محتوای فایل‌ها رو با هم مقايسه كنین خیلی ساده ببینید تاریخ modify شدن فایل كی هست ،ساده - راحت - ایمن :دی مثلا من libkeyutils.so.1.3 رو دارم كه تاریخ مودیفایش مال 7/2012 پس اخیرا كسی توش دست نبرده

**nader12** · February 20th, 2013, 18:05

واقعا خیلی ممنون از اطلاع رسانیتون

**DVBBaz** · February 20th, 2013, 19:13

این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...

کد:

Time:     Wed Feb 20 19:11:20 2013 +0330
IP:       94.91.131.100 (IT/Italy/host100-131-static.91-94-b.business.telecomitalia.it)
Failures: 5 (smtpauth)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

2013-02-20 19:11:09 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:11 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:13 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:15 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:18 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)

کد:

نوشته اصلی توسط nginxweb

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

Key authentication رو یکی از دوستان توضیخ میده لطفا ....

**≡ ALEX ≡** · February 20th, 2013, 19:41

اگر از ابتدا سرور هاتون رو بطور موثر Secure کنید، این چنین حفره های امنیتی باعث آسیب سرور های شما نخواهند شد. در واقع باگ های سیستم اصلی ممکنه وجود داشته باشند و توسط هکر ها مورد سوء استفاده قرار بگیرند ولی تنظیمات امنیتی و پیشگیرانه در سرور شما موجب کاهش سطوح دسترسی و در نهایت عدم دسترسی موثر از سوی هکر خواهد گردید.

**ertebat7** · February 20th, 2013, 21:12

Recommendations

Disable direct root logins.
Use SSH keys
Force the use of HTTPS in WHM.
Scan your system for malware.
Change root password.

**nginxweb** · February 20th, 2013, 21:18

نوشته اصلی توسط ertebat7

recommendations

disable direct root logins.
use ssh keys
force the use of https in whm.
scan your system for malware.
change root password.

تایید میشه
البته اینو هم اضافه کنم
csf در ورژن 5.76 به بالا قادر به شناسایی هستش اما متاسفانه نمیتونه fix کنه و هنوز عملا جز os reload هیچ آپدیت و راه حل قطعی منتشر نشده و همین طور در حال پیشروی هستش...

موضوع: اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

ابزارهای موضوع

نحوه نمایش موضوع

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از nginxweb به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از rezaonline.net به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از nginxweb به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها ازnoyfound به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها ازnader12 به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از≡ ALEX ≡ به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از nginxweb به دلیل پست مفید

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

نرم افزار اکسپلویت باگ جدید Kloxo

اموزش نرم افزار متاسپلویت بصورت جامع در( 10 بخش)

شرکتهای هاستینگ و مدیران سرورهای لینوکسی مراقب باشند - کد مخرب بسیار خطرناک sshd

تعریف اکسپلویت برای cxs

مجوز های ارسال و ویرایش