سلام دوستان و همکاران عزیزم

چند روزی هستش که اکسپلویت جدیدی در حال گسترش هستش که بسیار خطرناک هستش و روی Cloud Linux and CentOS systems حتی آخرین ورژن ها براحتی قابل اجرا هستش و attacker حتی میتونه دسترسی روت بگیره..
2 تا از سرورهای ما امروز آلوده شده و ظاهراه در کشورهای دیگه هم افراد بسیاری این مشکل رو دارند

CSF دائما alert زیر رو ارسال میکنه:

fd on server: System Exploit checking detected a possible compromise
این هم محتوای ایمیل:


Possible root compromise: File /lib64/libkeyutils.so.1.9 exists.


ظاهرا تاپیک جامعی در وب هاستینگ تاک اصلی در این مورد فعال هستش که جدید جدید هستش و دائما در حال آپدیت هستش

SSHD Rootkit Rolling around - Web Hosting Talk (http://www.webhostingtalk.com/showthread.php?t=1235797)

راههای زیادی برای جلوگیری پیشنهاد شده از جمله:


Action required:
------------------------------
Our managed cPanel customers need not do anything unless contacted directly
by us. Self managed customers will need to do the following to detect the
file in question and correct the exploit:

1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'

Please follow the steps below to clear the expliot.

1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1.3 libkeyutils.so.1
6. Restart ssh
7. yum update kernel and Reboot to close any active connections

اما متاسفانه بنده جواب قطعی هنوز نگرفتم و در بعضی سرورهای با اپدیت کرنل اصلا ممکن هستش سرور بالا نیاد... متاسفانه مشکل هنوز باقیست و بسیار هم high risk می باشد

وظیفه دونستم اینجا تاپیکی ایجاد کنم که قبل اینکه خدایی نکرده شما هم گریبانگیر این exploit بشید بتونید پیگیری و پیشگیری کنید

باگ هم ریپورت شده همین 3 روز پیش:
https://bugzilla.redhat.com/show_bug.cgi?id=911937

که فوق العاده خطرناک هستش و به نام kernel ptrace exploit هستش

Priority: high Severity: high


خوشحال هم میشم اگر دوستان راه حلی قطعی برای رفع این مورد میشناسند حتما به اشتراک بگذارند چون امنیت سرورهای تمامی دوستان و همکاران زیر خظر هستش

همکاران عزیزم حتما این اکسپلویتو جدی بگیرید CSF از ورژن 5.76 به بعد شناسایی میکنه اما fix نمی کنه

اما متاسفانه بنده جواب قطعی هنوز نگرفتم و در بعضی سرورهای با اپدیت کرنل اصلا ممکن هستش سرور بالا نیاد... متاسفانه مشکل هنوز باقیست و بسیار هم high risk می باشد

وظیفه دونستم اینجا تاپیکی ایجاد کنم که قبل اینکه خدایی نکرده شما هم گریبانگیر این exploit بشید بتونید پیگیری و پیشگیری کنید

باگ هم ریپورت شده همین 3 روز پیش:
https://bugzilla.redhat.com/show_bug.cgi?id=911937

که فوق العاده خطرناک هستش و به نام kernel ptrace exploit هستش

Priority: high Severity: high


خوشحال هم میشم اگر دوستان راه حلی قطعی برای رفع این مورد میشناسند حتما به اشتراک بگذارند چون امنیت سرورهای تمامی دوستان و همکاران زیر خظر هستش


کسی انجام داده مشکلی نداشت؟

هنوز راه حل قطعی پیدا نکردم شخضا چون فایل

/lib64/libkeyutils.so
را هم بخواین پاک کنید SSH از کار میوفته همچین خیلی کامند ها مثل wget و..

SSHD Exploit (http://www.cloudlinux.com/blog/clnews/sshd-exploit.php)

چیز کوچیک هست که کسی پست نمیده؟

خود cloud linux هم اشاره کرده تضمینی نمیده نسبت به کارکرد اسکریپت...
تمامی سرورهای لحظه به لحظه داره الوده میشه به این اکسپلویت واقعا اوضاع بدی داره اتفاق میافته

تا حالا تمام قربانی ها از پنل استفاده می کردن یا cp یا da

پاک کردن این فایل و تغییر پورت و پسورد ssh مشکلی رو حل نمیکنه باید بفهمیم که از کجا برای اولین بار وارد شدن که هنوز هیشکی نمیدونه.

تا حالا تمام قربانی ها از پنل استفاده می کردن یا cp یا da

پاک کردن این فایل و تغییر پورت و پسورد ssh مشکلی رو حل نمیکنه باید بفهمیم که از کجا برای اولین بار وارد شدن که هنوز هیشکی نمیدونه.
متاسفانه بله ... همین طور لحظه به لحظه در حال publish شدن هستش

هزاران سرور در دنیا ر حال آلوده شدن هستند
سایت شرکت اپل هم با این روش هک گردید
Apple: We were hacked, too - CNN.com (http://www.cnn.com/2013/02/19/tech/web/apple-hacked/index.html)

تمامی تیم های امنیتی در حال کار روی این maleware هستند اما متاسفانه هنوز مشکل حل نشده و همین طور سرورها در حال آلوده شدن هستند

هزاران سرور در دنیا ر حال آلوده شدن هستند
سایت شرکت اپل هم با این روش هک گردید
Apple: We were hacked, too - CNN.com (http://www.cnn.com/2013/02/19/tech/web/apple-hacked/index.html)

تمامی تیم های امنیتی در حال کار روی این maleware هستند اما متاسفانه هنوز مشکل حل نشده و همین طور سرورها در حال آلوده شدن هستند

عجب چیزیه تا پیدا شدن راه حل دعا کنیم خدا رحم کنه

متاسفانه در حال حاضر تمامی پنل های: Cpanel - Directadmin - Pleask گزارش شدن که آلوده میشن

همچنین به جز CentOs سیستم عامل Debian نیز آلوده گردیده است

هزاران سرور در دنیا ر حال آلوده شدن هستند
سایت شرکت اپل هم با این روش هک گردید
Apple: We were hacked, too - CNN.com (http://www.cnn.com/2013/02/19/tech/web/apple-hacked/index.html)

تمامی تیم های امنیتی در حال کار روی این maleware هستند اما متاسفانه هنوز مشکل حل نشده و همین طور سرورها در حال آلوده شدن هستند

از كجا می‌گید این روش ؟! متن خبر می‌گه كه بعضی كامپیوترهای كارمندان اپل با استفاده از یك اكسپلویت در جاوا هك شده كه اپل پچش رو داده و مشكل حل شده ! اون كجا و این مورد كجا !

lmd در اسکنرهای خودش اپدیت کرد احتمالا تا دقایقی دیگه این مشکل با اپدیت centos نیز حل بشه

64-Bit:
dedd962724841712a91674845aeba2da /usr/sbin/sshd

32bit
8d705e81fcb1b53c5d38fcd9cbf0690f /usr/sbin/sshd

راه حل موقت (پاک کردن فایل مخرب) :


# rm /lib64/libkeyutils.so.1.9 /lib64/libkeyutils.so.1
# ln -sf /lib64/libkeyutils-1.3.so /lib64/libkeyutils.so.1
# sync
# echo 'b' > /proc/sysrq-trigger # simulate a hard powercut to ensure the rootkit cannot reroot if it's memory resident.

نمیشه این فایل رو تا زمان بروزرسانی فریز کرد؟

نمیشه این فایل رو تا زمان بروزرسانی فریز کرد؟

قرنطینه این فایل هیچ مشکلی را برطرف نمی کنه
متاسفانه cxs که هنوز هیچ اقدامی انجام نداده
lmd در اسکنرهای خودش چهار ساعت پیش برزو کرد ولی این مشکل بایستی با ایدپیت سنتوس به صورت کامل حل بشه یا اینکه کنترل پنل ها اقدام کنند که در حال اقدام هستند

قرنطینه این فایل هیچ مشکلی را برطرف نمی کنه
متاسفانه cxs که هنوز هیچ اقدامی انجام نداده
lmd در اسکنرهای خودش چهار ساعت پیش برزو کرد ولی این مشکل بایستی با ایدپیت سنتوس به صورت کامل حل بشه یا اینکه کنترل پنل ها اقدام کنند که در حال اقدام هستند

منظورم قرنطینه نبود. با دستور chattr میشه فلگی روش ست کرد که هیچ کس حتی ادمین سیستم هم نمیتونه فایل رو دستکاری کنه. اینجوری فکر کنم بشه ازش محافظت کرد

lmd در اسکنرهای خودش اپدیت کرد احتمالا تا دقایقی دیگه این مشکل با اپدیت centos نیز حل بشه

64-Bit:
dedd962724841712a91674845aeba2da /usr/sbin/sshd

32bit
8d705e81fcb1b53c5d38fcd9cbf0690f /usr/sbin/sshd

راه حل موقت (پاک کردن فایل مخرب) :


# rm /lib64/libkeyutils.so.1.9 /lib64/libkeyutils.so.1
# ln -sf /lib64/libkeyutils-1.3.so /lib64/libkeyutils.so.1
# sync
# echo 'b' > /proc/sysrq-trigger # simulate a hard powercut to ensure the rootkit cannot reroot if it's memory resident.

دوستان کسی این روش رو تائید می کنه ؟

با این کامند می شه چک کرد آلوده شدن سرور رو :



$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh | /bin/bash

دوستان کسی این روش رو تائید می کنه ؟

با این کامند می شه چک کرد آلوده شدن سرور رو :



$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh | /bin/bash




خیر فقط فایل رو پاک میکنه و چون اینmaleware بصورت memory resident هستش با ریبوت سرور باز اجرا خواهد شد

خیر فقط فایل رو پاک میکنه و چون اینmaleware بصورت memory resident هستش با ریبوت سرور باز اجرا خواهد شد

بله دوست عزیز کاملا درسته بنده هم نوشته بودم: ( راه حل موقت )

دوستانی که هنوز آلوده نشدن میتونن با این دستور از آلوده شدن فایلشون جلوگیری کنن


chattr +i /lib64/libkeyutils.so.1.9

دوستانی که هنوز آلوده نشدن میتونن با این دستور از آلوده شدن فایلشون جلوگیری کنن


chattr +i /lib64/libkeyutils.so.1.9

اصلا وجود فایل
/libkeyutils.so.1.9
به معنی آلوده شدن می باشد به این دلیل که این فایل پیش فرض سیستم نمی باشد و توسط هکر generate می گردد و دستور فوق در واقع برای جلوگیری موقت از اعمال تغییرات روی فایل استفاده می گردد
سیستمی که infected نمی باشد همچین فایل رو ندارد

خیر فقط فایل رو پاک میکنه و چون اینmaleware بصورت memory resident هستش با ریبوت سرور باز اجرا خواهد شد

درست متوجه شدم ؟
یعنی اگه از این دستور استفاده کنیم تا ریبوت نشه مشکلی نخواهد بود ؟

خوب پس میتونیم زودتر خودمون این فایل رو لینک کنیم به فایل اصلی و بعد chattr کنیمش. یه چیزی شبیه همون راه حلی که دوسمتون گفت

به نظرم استاپ و غیرفعال کردن سرویس ssh می تونه راه حل موقتی باشه تا زمانی که تیم های امنیتی لینوکس و کلادلینوکس پچ های لازم رو پابلیک کنند، نظر دوستان چیه؟

به نظرم استاپ و غیرفعال کردن سرویس ssh می تونه راه حل موقتی باشه تا زمانی که تیم های امنیتی لینوکس و کلادلینوکس پچ های لازم رو پابلیک کنند، نظر دوستان چیه؟

غیر فعال کردن سرویس اس اس اچ دسترسی شما به سرور رو قطع میکنه. راه حلی که گفتم میتونه از ویروسی شدن سرور جلوگیری کنه. کافیه که اون فایلی که ویروس قراره بسازه رو خودمون بسازیم و فریزش کنیم.

غیر فعال کردن سرویس اس اس اچ دسترسی شما به سرور رو قطع میکنه. راه حلی که گفتم میتونه از ویروسی شدن سرور جلوگیری کنه. کافیه که اون فایلی که ویروس قراره بسازه رو خودمون بسازیم و فریزش کنیم.

اگه هکر بتونه فایلی که با کامندهایی که داده اید ساختیم رو اوررایت کنه اونوقت تکلیف چیه ؟

ضمنا اگه سی پنل و دایرکت آدمین و ... داشته باشید ConfigServer Explorer موقتا کارتون رو راه میندازه تا پچ کنند.

ما با دسترسی ادمین مجوز تغییر روی اون فایل رو غیر فعال میکنیم. و جهت فعال کردن مجدد مجوز تغییر روی اون فایل نیاز به دسترسی ادمین هست. هکر اگه دسترسی ادمین داشته باشه که دیگه نیازی به تغییر اون فایل نداره. با مجوزی که داره همه کار میتونه انجام بده

دوستان با دستور زیر آلوده بودن سرور رو میتونید چک کنید:

lsof -nP | grep libkeyutils

اگر خروجی چیزی مانند زیر بود:


httpd 879298 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879303 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879305 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879306 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879307 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879328 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9



100% آلوده هستش سرورتون

آخرش حتما باید 9 باشه که آلوده باشه؟



root@server:/tmp# lsof -nP | grep libkeyutils
named 6787 bind mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 15917 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24424 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24509 sug mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24916 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24958 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25000 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25004 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3

آخرش حتما باید 9 باشه که آلوده باشه؟



root@server:/tmp# lsof -nP | grep libkeyutils
named 6787 bind mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 15917 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24424 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24509 sug mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24916 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24958 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25000 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25004 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3




بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:


strings /lib64/libkeyutils.so.1.3

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

cupsd 762 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 805 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
whoopsie 1058 whoopsie mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2482 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2483 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2484 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2486 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2487 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22379 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22524 hostnetwork mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4

دستور
strings /lib/i386-linux-gnu/libkeyutils.so.1.4
یه سری چیزا توش نوشته الان چه جوری بفهمم آلوده شده یا نه ؟
سیستم عامل اوبونتو 12.4

cupsd 762 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 805 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
whoopsie 1058 whoopsie mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2482 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2483 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2484 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2486 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2487 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22379 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22524 hostnetwork mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4

دستور
strings /lib/i386-linux-gnu/libkeyutils.so.1.4
یه سری چیزا توش نوشته الان چه جوری بفهمم آلوده شده یا نه ؟
سیستم عامل اوبونتو 12.4

ظاهراه سیستم شما 32 بیتی هستش
متاسفانه debian هم آلوده کرده این maleware خانمان سوز جهت تست دستور زیرو وارد کنید:

strings /lib/i386-linux-gnu/libkeyutils.so.1.4

سپس 20 خطر اخر رو بییند آیا چیزی شبیه زیر هستش؟


p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
1&:?
pm.:?
i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:


strings /lib64/libkeyutils.so.1.3

حالا باید محتوا چی باشه تا بفهمیم آلوده شده سرور ؟

دوستان به جای اينكه محتوای فایل‌ها رو با هم مقايسه كنین خیلی ساده ببینید تاریخ modify شدن فایل كی هست ،ساده - راحت - ایمن :دی مثلا من libkeyutils.so.1.3 رو دارم كه تاریخ مودیفایش مال 7/2012 پس اخیرا كسی توش دست نبرده

واقعا خیلی ممنون از اطلاع رسانیتون:x

این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...



Time: Wed Feb 20 19:11:20 2013 +0330
IP: 94.91.131.100 (IT/Italy/host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it))
Failures: 5 (smtpauth)
Interval: 300 seconds
Blocked: Permanent Block

Log entries:

2013-02-20 19:11:09 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:11 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:13 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:15 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:18 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)







دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید


Key authentication رو یکی از دوستان توضیخ میده لطفا ....

اگر از ابتدا سرور هاتون رو بطور موثر Secure کنید، این چنین حفره های امنیتی باعث آسیب سرور های شما نخواهند شد. در واقع باگ های سیستم اصلی ممکنه وجود داشته باشند و توسط هکر ها مورد سوء استفاده قرار بگیرند ولی تنظیمات امنیتی و پیشگیرانه در سرور شما موجب کاهش سطوح دسترسی و در نهایت عدم دسترسی موثر از سوی هکر خواهد گردید.

Recommendations

Disable direct root logins.
Use SSH keys
Force the use of HTTPS in WHM.
Scan your system for malware.
Change root password.

recommendations

disable direct root logins.
use ssh keys
force the use of https in whm.
scan your system for malware.
change root password.



تایید میشه
البته اینو هم اضافه کنم
csf در ورژن 5.76 به بالا قادر به شناسایی هستش اما متاسفانه نمیتونه fix کنه و هنوز عملا جز os reload هیچ آپدیت و راه حل قطعی منتشر نشده و همین طور در حال پیشروی هستش...

این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...



Time: Wed Feb 20 19:11:20 2013 +0330
IP: 94.91.131.100 (IT/Italy/host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it))
Failures: 5 (smtpauth)
Interval: 300 seconds
Blocked: Permanent Block

Log entries:

2013-02-20 19:11:09 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:11 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:13 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:15 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:18 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it (http://host100-131-static.91-94-b.business.telecomitalia.it) ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)














این ایمل مربوط به بلوکه کردن آی پی یک روبات اسپمر هست

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

نحوه نفوذ به سیستم چطور هست؟ هنوز مشخص نشد؟

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:


strings /lib64/libkeyutils.so.1.3

خوب تو این فایل باید دنبال چی باشم؟

نحوه نفوذ به سیستم چطور هست؟ هنوز مشخص نشد؟

ظاهرا از طریق آپدیت های سیستم عامل و همچین لوکال سیستم رو آلوده میکنه و ربطی به امنیت سرور شما نداره
به عوان مثال 2 سرور خود ما با وجود امنیت بسیار مطلوب بر روی وب سرور و... باز هم بدون هیچ تغییری آلوده شده و اختلالات زیادی توش به وجود اومده و متاسفانه عملا جز os reload نمیشه به هیچ کد و پچی فعلا اعتماد کرد چون همه دست نویس و نظریه شخصی هستند

خوب تو این فایل باید دنبال چی باشم؟
20 خط آخرش رو ببینید اگر چیزی مشابه این باشه مطمئنا آلوده هستید


p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
1&:?
pm.:?
i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?

از آپدیت اتوماتیک و پچ رسمی این باگ برای لینوکس و کلاد لینوکس خبری نشده ؟

در ورژن جدید csf که هم اکنون منتشر شده است ورژن 5.79 گزینه بررسی این باگ را اضافه کرده اند:



Check for libkeyutils-1.2.so.2 in LF_EXPLOIT option SSHDSPAM

سلام

کجاش اضافه شده ؟! من هرچی گشتم نیافتم!

ظاهرا اگر سرور آلوده بشه و باگ فعالیت کنه csf خودش گزارش میده

بله گزارش میده اما fix k نمیکنه مشکل اصلی fix کردن هستش..

بله گزارش میده اما fix k نمیکنه مشکل اصلی fix کردن هستش..

لطف کنید و یک نمونه از گزارش ارسالی csf از سرور آلوده رو اینجا پابلیک کنید.
ممنون

دوستان بشدت پیشنهاد میشه که دسترسی به ssh سرورتونو رو از حالت password method به حالت key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت ssh رو هم به هیچ وجه پیش فرض(22) قرار ندهید
خدارو شکرت..
Ssh رو موردی نیست
قبلا انجام دادیم
-
دیگه چیکار کنیم؟

خدارو شکرت..
Ssh رو موردی نیست
قبلا انجام دادیم
-
دیگه چیکار کنیم؟


:) روش نفوذ اطلاع دارید؟

:) روش نفوذ اطلاع دارید؟
تمام تاپیک مطالعه شد
چیزی در این مورد ندیدم

ظاهرا برای این باگ از سوی ردهت برای ورژن لینوکس اینترپرایس پچ مربوطه منتشر شده ولی نمیدونم برای Centos هم منتشر کرده اند یا نه ؟!

https://rhn.redhat.com/errata/RHSA-2013-0519.html

ظاهرا برای این باگ از سوی ردهت برای ورژن لینوکس اینترپرایس پچ مربوطه منتشر شده ولی نمیدونم برای centos هم منتشر کرده اند یا نه ؟!

https://rhn.redhat.com/errata/rhsa-2013-0519.html

خدا بخیر کنه
اینقدر هل کردم با کله پریدم تو سرور :دی
هیچ میلی از csf بر این مبنا دریافت نشده
مورد مشکوکی هم مشاهده نشده جز داس و دی داس و ..

https://forums.cpanel.net/f185/sshd-rootkit-323962.html
عزیزان این تاپیک رو هم ببینید

در ورژن جدید csf که هم اکنون منتشر شده است ورژن 5.79 گزینه بررسی این باگ را اضافه کرده اند:
root@host [~]# csf -c
csf is already at the latest version: v5.79

منم همچین گزینه ای ندارم

root@host [~]# csf -c csf is already at the latest version: v5.79 منم همچین گزینه ای ندارم احتمالا اتوماتیک بروز شده
مال ما بعد از ظهر اتوماتیک شد

ConfigServer Blog � New csf v5.79 (http://blog.configserver.com/index.php?itemid=721)

این csf هیچ کاری نمیتونه انجام بده اگه الوده شده باشید فقط ریبولد !

از پچ های لینوکس و کلاد لینوکس خبری نشده ؟

از پچ های لینوکس و کلاد لینوکس خبری نشده ؟

فعلا خیر فقط Redhat پچ منتشر کرده از centos خبری نیست

اما آپدیت فلش پلیر وینذوز اومده که حتما باید به روز رسانی کنید

حتی سرورهای سایت cpanel.net هم آلوده شدن چند تاییشون ...
همه درگیر هستند

از پچ های لینوکس و کلاد لینوکس خبری نشده ؟

اللحساب بهترین روش استفاده از کلید امنیتی هستش که لا اقل خیالتون تخته جزء خودتون کسی به سرور دسترسی نداره .

اللحساب بهترین روش استفاده از کلید امنیتی هستش که لا اقل خیالتون تخته جزء خودتون کسی به سرور دسترسی نداره .

یعنی اگر به جای پسورد از پریویت کی استفاده کنیم ، مطمئن هستید که ویروس نمیتواند به ssh نفوذ کند؟

فعلا خیر فقط Redhat پچ منتشر کرده از centos خبری نیست

اما آپدیت فلش پلیر وینذوز اومده که حتما باید به روز رسانی کنید

حتی سرورهای سایت cpanel.net هم آلوده شدن چند تاییشون ...
همه درگیر هستند

ورژن Centos مگه نسخه رایگان ردهت نیست، چرا پچ رو برای این ورژن هم پابلیک نمی کنند؟

Csx هم نمیتونه جلوش رو بگیره . یا سرور پاک کنه از آلودگی ؟

Csx هم نمیتونه جلوش رو بگیره . یا سرور پاک کنه از آلودگی ؟

خیر csx بسیار ضعیف می باشد و جز پیدا کگردن فقط چند نوع اینکود method عملا کارایی دیگری ندارد

I'd suggest posting on the WHT thread re: a more automated way of checking. I know that CloudLinux also posted a detection script
https://forums.cpanel.net/f185/sshd-rootkit-323962-p6.html#post1329391.

عجب چیزیه تا پیدا شدن راه حل دعا کنیم خدا رحم کنه

ایرانی جماعت یعنی همین دیگه
ایرانی دعا میکنه ، خارجی راه حل پیدا میکنه

هه :)

مایکروسافت هم هک شد

شرکت مایکروسافت اعلام کرد که هدف حمله سایبری قرار گرفته است.


به گزارش ایسنا، مایکروسافت اعلام کرده که این حمله سایبری مشابه حمله هکری به شرکت اپل و شبکه اجتماعی فیس‌بوک بوده و از طریق آسیب‌پذیری بستر نرم‌افزاری اوراکل جاوا انجام شده است.


به گفته مقامات مایکروسافت، این شرکت طی تحقیقات خود متوجه آلودگی تعدادی از رایانه‌های کارکنان به نرم‌افزارهای مخرب شده است. اما هنوز مدرکی مبنی بر آلودگی اطلاعات مشتریان در دست نیست.


پس از این اتفاق،‌ مایکروسافت نیز به جمع شرکت‌های بزرگ از جمله اپل، ‌فیس‌بوک، ‌توئیتر و روزنامه‌های نیویورک تایمز و وال استریت ژورنال که قربانی حمله‌های سایبری شده‌اند، پیوست.


به گزارش پی سی ورلد، در حالی که روزنامه‌های نیویورک تایمز و وال استریت ژورنال و شرکت اپل، چین را مسوول این حمله‌های سایبری می‌دانند، ‌این کشور هرگونه مشارکت در این حمله را تکذیب کرده است.

از پچ این باگ چه خبر ؟

ایرانی جماعت یعنی همین دیگه
ایرانی دعا میکنه ، خارجی راه حل پیدا میکنه

هه :)
قصد من شوخی بود

:)

یک اسکریپت بود از وب هاستینگ تالک کام
دانلود کردم خودشون گفتن درست کار میکنه
گذاشتم تست گرفتم
زده libkeyutils رو پاک کرده wget و همه چیو از کار انداخته!
واسه بک کردن libkeyutils چیکار کنیم؟

اینقدر عمل کرد سریع بود که بعضی سایت هامون از کار افتاده

اگر سی پنل دارید شاید با آپدیت اون حل بشه و همچنین با آپدیت کرنل و ...:

/scripts/upcp --force

اگر سی پنل دارید شاید با آپدیت اون حل بشه و همچنین با آپدیت کرنل و ...:

/scripts/upcp --force

تست میکنم
دیشب تا صبح خوابم نبرده!
سایت خودمون هم داون شده

آخرش معلوم نشد تکلیف این باگ چیه ؟!
چرا کسی مسئولیت رفع این باگ رو به عهده نمیگیره ؟
پس این CentOS.org و CloudLinux چکاره اند؟

خود Redhat هم هنوز نتوسنته Fix کنه
حالا خدا تومان از کاربراش برای امکانات و پشتیبانی پول میگیره ...
centos بیچاره چه گناهی کرده ...

ردهت برای سیستم خودش ظاهرا یک پچ ارائه کرده : https://rhn.redhat.com/errata/RHSA-2013-0519.html
البته نمیدونم این پچ چقدر موثر هست و آیا تونسته مشکل رو بطور کامل رفع کنه یا نه ؟

ضمنا سنت اواس هم زیرمجموعه رایگان ردهت هست و ساختار مشابهی با ورژن RHL داره ... ولی از پچ سنت او اس چرا خبری نیست ؟!

آخرش تکلیف پچ این باگ معلوم نشد ؟ :-&

ردهت برای سیستم خودش ظاهرا یک پچ ارائه کرده : https://rhn.redhat.com/errata/RHSA-2013-0519.html
البته نمیدونم این پچ چقدر موثر هست و آیا تونسته مشکل رو بطور کامل رفع کنه یا نه ؟

ضمنا سنت اواس هم زیرمجموعه رایگان ردهت هست و ساختار مشابهی با ورژن RHL داره ... ولی از پچ سنت او اس چرا خبری نیست ؟!

شما از این استفاده کردین؟

با سلام.

تا الان Solution مناسبي ارائه نشده.

اميدوارم يك نوع Kernel Level Rootkit نباشه !

با تشكر.

شما از این استفاده کردین؟

من استفاده نکردم ولی فکر نمی کنم که پچ اصلی باشه این چیزی که ردهت منتشر کرده !

پاسخ پشتیبانی کلادلینوکس هم میگه هنوز پچ مناسبی منتشر نشده است

نکته مهم اینکه تا جایی که فهمیدم با گ اصلی SSH Root Login هست و اکسپلویت از طریق استراق سمع لوگین از طریق روت می تونه پسورد روت سرور رو سرقت کنه و ....

عملا هیچ راه دقیقی هنوز پیدا نشده برای رفع یا پچ این مشکل..

به هرحال پیشنهاد بنده همچنان برای اینکه خیالتون راحت باشه OS RELOAD هستش و اصلا ریسک نکنید چون root security چیزی نیست که مدیر سرور ساده از کنارش بگذره

بله چیزه خطرناکیه از طریق sxx/linux.kilo میشه جلوشو گرفت

آه خدای من :

lsof -nP | grep libkeyutils
imap-logi 3388 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3389 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3390 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3391 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3392 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3394 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3395 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3396 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3403 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3404 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3405 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 3407 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
sshd 3412 root mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
directadm 3534 nobody mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
sshd 3542 root mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
pure-ftpd 3550 root mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
pure-ftpd 3551 root mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
exim 3557 mail mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
pure-ftpd 3664 root mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
yum-updat 3840 root mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
named 3869 named mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
httpd 7977 apache mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
httpd 7979 apache mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 8119 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 8172 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
httpd 15141 root mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
imap-logi 22948 dovecot mem REG 253,0 7880 34111518 /lib/li bkeyutils-1.2.so
httpd 26350 apache mem REG 253,0 7880 34111518 /lib/li

چه خاکی تو سرمون کنیم ؟

آه خدای من :


چه خاکی تو سرمون کنیم ؟

ریلود:)

ریلود:)

الان آلوده شده ؟
آخه چه طور آلوده شده ؟

مشکل از سمت کرنل هست و فعلا تنها راهکار نصب مجدد سیستم هست.البته این باگ قدیمی هست. عجیب هست همچنان سرور های دوستان دچار این مشکل میشود.

سلام خدمت اساتید
من تو ssh به این پیغام بر خوردم
sshd root@pts/0
این یعنی چی؟
البته سرچ کردم فهمیدم امضا یه هکره ... ولی می خوام یه توضیح بدید بهم که :
این چیه؟
چی کار کنم؟
چقدر خطریه؟
ممنونم.;;)