اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

نقل قول:

---

نوشته اصلی توسط DVBBaz

این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...

کد:

---

Time:    Wed Feb 20 19:11:20 2013 +0330
IP:      94.91.131.100 (IT/Italy/host100-131-static.91-94-b.business.telecomitalia.it)
Failures: 5 (smtpauth)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

2013-02-20 19:11:09 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:11 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:13 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:15 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:18 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)

---

کد:

---

---

---

این ایمل مربوط به بلوکه کردن آی پی یک روبات اسپمر هست

نقل قول:

---

نوشته اصلی توسط nginxweb

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

---

نحوه نفوذ به سیستم چطور هست؟ هنوز مشخص نشد؟

نقل قول:

---

نوشته اصلی توسط nginxweb

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

---

strings /lib64/libkeyutils.so.1.3

---

---

خوب تو این فایل باید دنبال چی باشم؟

نقل قول:

---

نوشته اصلی توسط i-whost

نحوه نفوذ به سیستم چطور هست؟ هنوز مشخص نشد؟

---

ظاهرا از طریق آپدیت های سیستم عامل و همچین لوکال سیستم رو آلوده میکنه و ربطی به امنیت سرور شما نداره
به عوان مثال 2 سرور خود ما با وجود امنیت بسیار مطلوب بر روی وب سرور و... باز هم بدون هیچ تغییری آلوده شده و اختلالات زیادی توش به وجود اومده و متاسفانه عملا جز os reload نمیشه به هیچ کد و پچی فعلا اعتماد کرد چون همه دست نویس و نظریه شخصی هستند

نقل قول:

---

نوشته اصلی توسط parsspace

خوب تو این فایل باید دنبال چی باشم؟

---

20 خط آخرش رو ببینید اگر چیزی مشابه این باشه مطمئنا آلوده هستید

کد:

---

p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
 1&:?
pm.:?
 i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?

---

از آپدیت اتوماتیک و پچ رسمی این باگ برای لینوکس و کلاد لینوکس خبری نشده ؟

در ورژن جدید csf که هم اکنون منتشر شده است ورژن 5.79 گزینه بررسی این باگ را اضافه کرده اند:

نقل قول:

---

Check for libkeyutils-1.2.so.2 in LF_EXPLOIT option SSHDSPAM

---

سلام

کجاش اضافه شده ؟! من هرچی گشتم نیافتم!

ظاهرا اگر سرور آلوده بشه و باگ فعالیت کنه csf خودش گزارش میده

بله گزارش میده اما fix k نمیکنه مشکل اصلی fix کردن هستش..

نقل قول:

---

نوشته اصلی توسط nginxweb

بله گزارش میده اما fix k نمیکنه مشکل اصلی fix کردن هستش..

---

لطف کنید و یک نمونه از گزارش ارسالی csf از سرور آلوده رو اینجا پابلیک کنید.
ممنون

نقل قول:

---

نوشته اصلی توسط nginxweb

دوستان بشدت پیشنهاد میشه که دسترسی به ssh سرورتونو رو از حالت password method به حالت key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت ssh رو هم به هیچ وجه پیش فرض(22) قرار ندهید

---

خدارو شکرت..
Ssh رو موردی نیست
قبلا انجام دادیم
-
دیگه چیکار کنیم؟

نقل قول:

---

نوشته اصلی توسط CityKala.net

خدارو شکرت..
Ssh رو موردی نیست
قبلا انجام دادیم
-
دیگه چیکار کنیم؟

---

:) روش نفوذ اطلاع دارید؟

نقل قول:

---

نوشته اصلی توسط i-whost

:) روش نفوذ اطلاع دارید؟

---

تمام تاپیک مطالعه شد
چیزی در این مورد ندیدم

ظاهرا برای این باگ از سوی ردهت برای ورژن لینوکس اینترپرایس پچ مربوطه منتشر شده ولی نمیدونم برای Centos هم منتشر کرده اند یا نه ؟!

https://rhn.redhat.com/errata/RHSA-2013-0519.html

نقل قول:

---

نوشته اصلی توسط kian

ظاهرا برای این باگ از سوی ردهت برای ورژن لینوکس اینترپرایس پچ مربوطه منتشر شده ولی نمیدونم برای centos هم منتشر کرده اند یا نه ؟!

https://rhn.redhat.com/errata/rhsa-2013-0519.html

---

خدا بخیر کنه
اینقدر هل کردم با کله پریدم تو سرور :دی
هیچ میلی از csf بر این مبنا دریافت نشده
مورد مشکوکی هم مشاهده نشده جز داس و دی داس و ..

https://forums.cpanel.net/f185/sshd-rootkit-323962.html
عزیزان این تاپیک رو هم ببینید

نقل قول:

---

نوشته اصلی توسط Kian

در ورژن جدید csf که هم اکنون منتشر شده است ورژن 5.79 گزینه بررسی این باگ را اضافه کرده اند:

---

root@host [~]# csf -c
csf is already at the latest version: v5.79

منم همچین گزینه ای ندارم

نقل قول:

---

نوشته اصلی توسط tizparvaz

root@host [~]# csf -c csf is already at the latest version: v5.79 منم همچین گزینه ای ندارم

---

احتمالا اتوماتیک بروز شده
مال ما بعد از ظهر اتوماتیک شد

ConfigServer Blog � New csf v5.79

این csf هیچ کاری نمیتونه انجام بده اگه الوده شده باشید فقط ریبولد !

از پچ های لینوکس و کلاد لینوکس خبری نشده ؟

نقل قول:

---

نوشته اصلی توسط Kian

از پچ های لینوکس و کلاد لینوکس خبری نشده ؟

---

فعلا خیر فقط Redhat پچ منتشر کرده از centos خبری نیست

اما آپدیت فلش پلیر وینذوز اومده که حتما باید به روز رسانی کنید

حتی سرورهای سایت cpanel.net هم آلوده شدن چند تاییشون ...
همه درگیر هستند

نقل قول:

---

نوشته اصلی توسط Kian

از پچ های لینوکس و کلاد لینوکس خبری نشده ؟

---

اللحساب بهترین روش استفاده از کلید امنیتی هستش که لا اقل خیالتون تخته جزء خودتون کسی به سرور دسترسی نداره .

نقل قول:

---

نوشته اصلی توسط safinoor

اللحساب بهترین روش استفاده از کلید امنیتی هستش که لا اقل خیالتون تخته جزء خودتون کسی به سرور دسترسی نداره .

---

یعنی اگر به جای پسورد از پریویت کی استفاده کنیم ، مطمئن هستید که ویروس نمیتواند به ssh نفوذ کند؟

نقل قول:

---

نوشته اصلی توسط nginxweb

فعلا خیر فقط Redhat پچ منتشر کرده از centos خبری نیست

اما آپدیت فلش پلیر وینذوز اومده که حتما باید به روز رسانی کنید

حتی سرورهای سایت cpanel.net هم آلوده شدن چند تاییشون ...
همه درگیر هستند

---

ورژن Centos مگه نسخه رایگان ردهت نیست، چرا پچ رو برای این ورژن هم پابلیک نمی کنند؟

Csx هم نمیتونه جلوش رو بگیره . یا سرور پاک کنه از آلودگی ؟

نقل قول:

---

نوشته اصلی توسط tizparvaz

Csx هم نمیتونه جلوش رو بگیره . یا سرور پاک کنه از آلودگی ؟

---

خیر csx بسیار ضعیف می باشد و جز پیدا کگردن فقط چند نوع اینکود method عملا کارایی دیگری ندارد

I'd suggest posting on the WHT thread re: a more automated way of checking. I know that CloudLinux also posted a detection script
https://forums.cpanel.net/f185/sshd-...ml#post1329391.

نقل قول:

---

نوشته اصلی توسط tizparvaz

عجب چیزیه تا پیدا شدن راه حل دعا کنیم خدا رحم کنه

---

ایرانی جماعت یعنی همین دیگه
ایرانی دعا میکنه ، خارجی راه حل پیدا میکنه

هه :)

مایکروسافت هم هک شد

شرکت مایکروسافت اعلام کرد که هدف حمله سایبری قرار گرفته است.


به گزارش ایسنا، مایکروسافت اعلام کرده که این حمله سایبری مشابه حمله هکری به شرکت اپل و شبکه اجتماعی فیس‌بوک بوده و از طریق آسیب‌پذیری بستر نرم‌افزاری اوراکل جاوا انجام شده است.


به گفته مقامات مایکروسافت، این شرکت طی تحقیقات خود متوجه آلودگی تعدادی از رایانه‌های کارکنان به نرم‌افزارهای مخرب شده است. اما هنوز مدرکی مبنی بر آلودگی اطلاعات مشتریان در دست نیست.


پس از این اتفاق،‌ مایکروسافت نیز به جمع شرکت‌های بزرگ از جمله اپل، ‌فیس‌بوک، ‌توئیتر و روزنامه‌های نیویورک تایمز و وال استریت ژورنال که قربانی حمله‌های سایبری شده‌اند، پیوست.


به گزارش پی سی ورلد، در حالی که روزنامه‌های نیویورک تایمز و وال استریت ژورنال و شرکت اپل، چین را مسوول این حمله‌های سایبری می‌دانند، ‌این کشور هرگونه مشارکت در این حمله را تکذیب کرده است.

از پچ این باگ چه خبر ؟

نقل قول:

---

نوشته اصلی توسط joorabeban

ایرانی جماعت یعنی همین دیگه
ایرانی دعا میکنه ، خارجی راه حل پیدا میکنه

هه :)

---

قصد من شوخی بود

:)

یک اسکریپت بود از وب هاستینگ تالک کام
دانلود کردم خودشون گفتن درست کار میکنه
گذاشتم تست گرفتم
زده libkeyutils رو پاک کرده wget و همه چیو از کار انداخته!
واسه بک کردن libkeyutils چیکار کنیم؟

اینقدر عمل کرد سریع بود که بعضی سایت هامون از کار افتاده

اگر سی پنل دارید شاید با آپدیت اون حل بشه و همچنین با آپدیت کرنل و ...:

کد PHP:

---

/scripts/upcp --force 


---

نقل قول:

---

نوشته اصلی توسط Kian

اگر سی پنل دارید شاید با آپدیت اون حل بشه و همچنین با آپدیت کرنل و ...:

کد PHP:

---

/scripts/upcp --force 


---

---

تست میکنم
دیشب تا صبح خوابم نبرده!
سایت خودمون هم داون شده

آخرش معلوم نشد تکلیف این باگ چیه ؟!
چرا کسی مسئولیت رفع این باگ رو به عهده نمیگیره ؟
پس این CentOS.org و CloudLinux چکاره اند؟

خود Redhat هم هنوز نتوسنته Fix کنه
حالا خدا تومان از کاربراش برای امکانات و پشتیبانی پول میگیره ...
centos بیچاره چه گناهی کرده ...

ردهت برای سیستم خودش ظاهرا یک پچ ارائه کرده : https://rhn.redhat.com/errata/RHSA-2013-0519.html
البته نمیدونم این پچ چقدر موثر هست و آیا تونسته مشکل رو بطور کامل رفع کنه یا نه ؟

ضمنا سنت اواس هم زیرمجموعه رایگان ردهت هست و ساختار مشابهی با ورژن RHL داره ... ولی از پچ سنت او اس چرا خبری نیست ؟!