دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید
نمایش نسخه قابل چاپ
دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید
دستورکد:cupsd 762 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 805 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
whoopsie 1058 whoopsie mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2482 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2483 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2484 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2486 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2487 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22379 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22524 hostnetwork mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
یه سری چیزا توش نوشته الان چه جوری بفهمم آلوده شده یا نه ؟کد:strings /lib/i386-linux-gnu/libkeyutils.so.1.4
سیستم عامل اوبونتو 12.4
ظاهراه سیستم شما 32 بیتی هستشنقل قول:
نوشته اصلی توسط rezaonline.net
متاسفانه debian هم آلوده کرده این maleware خانمان سوز جهت تست دستور زیرو وارد کنید:
سپس 20 خطر اخر رو بییند آیا چیزی شبیه زیر هستش؟کد:strings /lib/i386-linux-gnu/libkeyutils.so.1.4
کد:p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
1&:?
pm.:?
i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?
حالا باید محتوا چی باشه تا بفهمیم آلوده شده سرور ؟نقل قول:
نوشته اصلی توسط nginxweb
دوستان به جای اينكه محتوای فایلها رو با هم مقايسه كنین خیلی ساده ببینید تاریخ modify شدن فایل كی هست ،ساده - راحت - ایمن :دی مثلا من libkeyutils.so.1.3 رو دارم كه تاریخ مودیفایش مال 7/2012 پس اخیرا كسی توش دست نبرده
واقعا خیلی ممنون از اطلاع رسانیتون:x
این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...
کد:Time: Wed Feb 20 19:11:20 2013 +0330
IP: 94.91.131.100 (IT/Italy/host100-131-static.91-94-b.business.telecomitalia.it)
Failures: 5 (smtpauth)
Interval: 300 seconds
Blocked: Permanent Block
Log entries:
2013-02-20 19:11:09 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:11 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:13 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:15 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:18 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
کد:
نقل قول:
نوشته اصلی توسط nginxweb
Key authentication رو یکی از دوستان توضیخ میده لطفا ....
اگر از ابتدا سرور هاتون رو بطور موثر Secure کنید، این چنین حفره های امنیتی باعث آسیب سرور های شما نخواهند شد. در واقع باگ های سیستم اصلی ممکنه وجود داشته باشند و توسط هکر ها مورد سوء استفاده قرار بگیرند ولی تنظیمات امنیتی و پیشگیرانه در سرور شما موجب کاهش سطوح دسترسی و در نهایت عدم دسترسی موثر از سوی هکر خواهد گردید.
Recommendations
- Disable direct root logins.
- Use SSH keys
- Force the use of HTTPS in WHM.
- Scan your system for malware.
- Change root password.
تایید میشهنقل قول:
نوشته اصلی توسط ertebat7
البته اینو هم اضافه کنم
csf در ورژن 5.76 به بالا قادر به شناسایی هستش اما متاسفانه نمیتونه fix کنه و هنوز عملا جز os reload هیچ آپدیت و راه حل قطعی منتشر نشده و همین طور در حال پیشروی هستش...