اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

**Kian** · February 20th, 2013, 22:27

نوشته اصلی توسط DVBBaz

این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...

کد:

Time:     Wed Feb 20 19:11:20 2013 +0330
IP:       94.91.131.100 (IT/Italy/host100-131-static.91-94-b.business.telecomitalia.it)
Failures: 5 (smtpauth)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

2013-02-20 19:11:09 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:11 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:13 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:15 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:18 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)

کد:

این ایمل مربوط به بلوکه کردن آی پی یک روبات اسپمر هست

**~~i-whost~~** · February 21st, 2013, 00:20

نوشته اصلی توسط nginxweb

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

نحوه نفوذ به سیستم چطور هست؟ هنوز مشخص نشد؟

**parsspace** · February 21st, 2013, 01:31

نوشته اصلی توسط nginxweb

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

 strings /lib64/libkeyutils.so.1.3

خوب تو این فایل باید دنبال چی باشم؟

**nginxweb** · February 21st, 2013, 01:40

نوشته اصلی توسط i-whost

نحوه نفوذ به سیستم چطور هست؟ هنوز مشخص نشد؟

ظاهرا از طریق آپدیت های سیستم عامل و همچین لوکال سیستم رو آلوده میکنه و ربطی به امنیت سرور شما نداره
به عوان مثال 2 سرور خود ما با وجود امنیت بسیار مطلوب بر روی وب سرور و... باز هم بدون هیچ تغییری آلوده شده و اختلالات زیادی توش به وجود اومده و متاسفانه عملا جز os reload نمیشه به هیچ کد و پچی فعلا اعتماد کرد چون همه دست نویس و نظریه شخصی هستند

**nginxweb** · February 21st, 2013, 01:42

نوشته اصلی توسط parsspace

خوب تو این فایل باید دنبال چی باشم؟

20 خط آخرش رو ببینید اگر چیزی مشابه این باشه مطمئنا آلوده هستید

کد:

p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
 1&:?
pm.:?
 i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?

**Kian** · February 21st, 2013, 15:22

از آپدیت اتوماتیک و پچ رسمی این باگ برای لینوکس و کلاد لینوکس خبری نشده ؟

**Kian** · February 21st, 2013, 15:59

در ورژن جدید csf که هم اکنون منتشر شده است ورژن 5.79 گزینه بررسی این باگ را اضافه کرده اند:

Check for libkeyutils-1.2.so.2 in LF_EXPLOIT option SSHDSPAM

**compiler** · February 21st, 2013, 17:39

سلام

کجاش اضافه شده ؟! من هرچی گشتم نیافتم!

**Kian** · February 21st, 2013, 18:38

ظاهرا اگر سرور آلوده بشه و باگ فعالیت کنه csf خودش گزارش میده

**nginxweb** · February 21st, 2013, 21:08

بله گزارش میده اما fix k نمیکنه مشکل اصلی fix کردن هستش..

موضوع: اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

ابزارهای موضوع

نحوه نمایش موضوع

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها ازKian به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از i-whost به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از parsspace به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از nginxweb به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از nginxweb به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از Kian به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از Kian به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از compiler به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از Kian به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از nginxweb به دلیل پست مفید

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

نرم افزار اکسپلویت باگ جدید Kloxo

اموزش نرم افزار متاسپلویت بصورت جامع در( 10 بخش)

شرکتهای هاستینگ و مدیران سرورهای لینوکسی مراقب باشند - کد مخرب بسیار خطرناک sshd

تعریف اکسپلویت برای cxs

مجوز های ارسال و ویرایش