اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

نقل قول:

---

نوشته اصلی توسط DVBBaz

این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...

کد:

---

Time:    Wed Feb 20 19:11:20 2013 +0330
IP:      94.91.131.100 (IT/Italy/host100-131-static.91-94-b.business.telecomitalia.it)
Failures: 5 (smtpauth)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

2013-02-20 19:11:09 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:11 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:13 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:15 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:18 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)

---

کد:

---

---

---

این ایمل مربوط به بلوکه کردن آی پی یک روبات اسپمر هست

نقل قول:

---

نوشته اصلی توسط nginxweb

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

---

نحوه نفوذ به سیستم چطور هست؟ هنوز مشخص نشد؟

نقل قول:

---

نوشته اصلی توسط nginxweb

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

---

strings /lib64/libkeyutils.so.1.3

---

---

خوب تو این فایل باید دنبال چی باشم؟

نقل قول:

---

نوشته اصلی توسط i-whost

نحوه نفوذ به سیستم چطور هست؟ هنوز مشخص نشد؟

---

ظاهرا از طریق آپدیت های سیستم عامل و همچین لوکال سیستم رو آلوده میکنه و ربطی به امنیت سرور شما نداره
به عوان مثال 2 سرور خود ما با وجود امنیت بسیار مطلوب بر روی وب سرور و... باز هم بدون هیچ تغییری آلوده شده و اختلالات زیادی توش به وجود اومده و متاسفانه عملا جز os reload نمیشه به هیچ کد و پچی فعلا اعتماد کرد چون همه دست نویس و نظریه شخصی هستند

نقل قول:

---

نوشته اصلی توسط parsspace

خوب تو این فایل باید دنبال چی باشم؟

---

20 خط آخرش رو ببینید اگر چیزی مشابه این باشه مطمئنا آلوده هستید

کد:

---

p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
 1&:?
pm.:?
 i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?

---

از آپدیت اتوماتیک و پچ رسمی این باگ برای لینوکس و کلاد لینوکس خبری نشده ؟

در ورژن جدید csf که هم اکنون منتشر شده است ورژن 5.79 گزینه بررسی این باگ را اضافه کرده اند:

نقل قول:

---

Check for libkeyutils-1.2.so.2 in LF_EXPLOIT option SSHDSPAM

---

سلام

کجاش اضافه شده ؟! من هرچی گشتم نیافتم!

ظاهرا اگر سرور آلوده بشه و باگ فعالیت کنه csf خودش گزارش میده

بله گزارش میده اما fix k نمیکنه مشکل اصلی fix کردن هستش..