-
اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
سلام دوستان و همکاران عزیزم
چند روزی هستش که اکسپلویت جدیدی در حال گسترش هستش که بسیار خطرناک هستش و روی Cloud Linux and CentOS systems حتی آخرین ورژن ها براحتی قابل اجرا هستش و attacker حتی میتونه دسترسی روت بگیره..
2 تا از سرورهای ما امروز آلوده شده و ظاهراه در کشورهای دیگه هم افراد بسیاری این مشکل رو دارند
CSF دائما alert زیر رو ارسال میکنه:
fd on server: System Exploit checking detected a possible compromise
این هم محتوای ایمیل:
Possible root compromise: File /lib64/libkeyutils.so.1.9 exists.
ظاهرا تاپیک جامعی در وب هاستینگ تاک اصلی در این مورد فعال هستش که جدید جدید هستش و دائما در حال آپدیت هستش
SSHD Rootkit Rolling around - Web Hosting Talk
راههای زیادی برای جلوگیری پیشنهاد شده از جمله:
کد:
Action required:
------------------------------
Our managed cPanel customers need not do anything unless contacted directly
by us. Self managed customers will need to do the following to detect the
file in question and correct the exploit:
1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'
Please follow the steps below to clear the expliot.
1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1.3 libkeyutils.so.1
6. Restart ssh
7. yum update kernel and Reboot to close any active connections
اما متاسفانه بنده جواب قطعی هنوز نگرفتم و در بعضی سرورهای با اپدیت کرنل اصلا ممکن هستش سرور بالا نیاد... متاسفانه مشکل هنوز باقیست و بسیار هم high risk می باشد
وظیفه دونستم اینجا تاپیکی ایجاد کنم که قبل اینکه خدایی نکرده شما هم گریبانگیر این exploit بشید بتونید پیگیری و پیشگیری کنید
باگ هم ریپورت شده همین 3 روز پیش:
https://bugzilla.redhat.com/show_bug.cgi?id=911937
که فوق العاده خطرناک هستش و به نام kernel ptrace exploit هستش
Priority: high Severity: high
خوشحال هم میشم اگر دوستان راه حلی قطعی برای رفع این مورد میشناسند حتما به اشتراک بگذارند چون امنیت سرورهای تمامی دوستان و همکاران زیر خظر هستش
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
همکاران عزیزم حتما این اکسپلویتو جدی بگیرید CSF از ورژن 5.76 به بعد شناسایی میکنه اما fix نمی کنه
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
nginxweb
اما متاسفانه بنده جواب قطعی هنوز نگرفتم و در بعضی سرورهای با اپدیت کرنل اصلا ممکن هستش سرور بالا نیاد... متاسفانه مشکل هنوز باقیست و بسیار هم high risk می باشد
وظیفه دونستم اینجا تاپیکی ایجاد کنم که قبل اینکه خدایی نکرده شما هم گریبانگیر این exploit بشید بتونید پیگیری و پیشگیری کنید
باگ هم ریپورت شده همین 3 روز پیش:
https://bugzilla.redhat.com/show_bug.cgi?id=911937
که فوق العاده خطرناک هستش و به نام
kernel ptrace exploit هستش
Priority: high Severity: high
خوشحال هم میشم اگر دوستان راه حلی قطعی برای رفع این مورد میشناسند حتما به اشتراک بگذارند چون امنیت سرورهای تمامی دوستان و همکاران زیر خظر هستش
کسی انجام داده مشکلی نداشت؟
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
هنوز راه حل قطعی پیدا نکردم شخضا چون فایل
/lib64/libkeyutils.so
را هم بخواین پاک کنید SSH از کار میوفته همچین خیلی کامند ها مثل wget و..
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
SSHD Exploit
چیز کوچیک هست که کسی پست نمیده؟
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
خود cloud linux هم اشاره کرده تضمینی نمیده نسبت به کارکرد اسکریپت...
تمامی سرورهای لحظه به لحظه داره الوده میشه به این اکسپلویت واقعا اوضاع بدی داره اتفاق میافته
-
Re: اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
تا حالا تمام قربانی ها از پنل استفاده می کردن یا cp یا da
پاک کردن این فایل و تغییر پورت و پسورد ssh مشکلی رو حل نمیکنه باید بفهمیم که از کجا برای اولین بار وارد شدن که هنوز هیشکی نمیدونه.
-
پاسخ : Re: اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
noyfound
تا حالا تمام قربانی ها از پنل استفاده می کردن یا cp یا da
پاک کردن این فایل و تغییر پورت و پسورد ssh مشکلی رو حل نمیکنه باید بفهمیم که از کجا برای اولین بار وارد شدن که هنوز هیشکی نمیدونه.
متاسفانه بله ... همین طور لحظه به لحظه در حال publish شدن هستش
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
هزاران سرور در دنیا ر حال آلوده شدن هستند
سایت شرکت اپل هم با این روش هک گردید
Apple: We were hacked, too - CNN.com
تمامی تیم های امنیتی در حال کار روی این maleware هستند اما متاسفانه هنوز مشکل حل نشده و همین طور سرورها در حال آلوده شدن هستند
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
nginxweb
هزاران سرور در دنیا ر حال آلوده شدن هستند
سایت شرکت اپل هم با این روش هک گردید
Apple: We were hacked, too - CNN.com
تمامی تیم های امنیتی در حال کار روی این maleware هستند اما متاسفانه هنوز مشکل حل نشده و همین طور سرورها در حال آلوده شدن هستند
عجب چیزیه تا پیدا شدن راه حل دعا کنیم خدا رحم کنه
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
متاسفانه در حال حاضر تمامی پنل های: Cpanel - Directadmin - Pleask گزارش شدن که آلوده میشن
همچنین به جز CentOs سیستم عامل Debian نیز آلوده گردیده است
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
nginxweb
هزاران سرور در دنیا ر حال آلوده شدن هستند
سایت شرکت اپل هم با این روش هک گردید
Apple: We were hacked, too - CNN.com
تمامی تیم های امنیتی در حال کار روی این maleware هستند اما متاسفانه هنوز مشکل حل نشده و همین طور سرورها در حال آلوده شدن هستند
از كجا میگید این روش ؟! متن خبر میگه كه بعضی كامپیوترهای كارمندان اپل با استفاده از یك اكسپلویت در جاوا هك شده كه اپل پچش رو داده و مشكل حل شده ! اون كجا و این مورد كجا !
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
lmd در اسکنرهای خودش اپدیت کرد احتمالا تا دقایقی دیگه این مشکل با اپدیت centos نیز حل بشه
64-Bit:
dedd962724841712a91674845aeba2da /usr/sbin/sshd
32bit
8d705e81fcb1b53c5d38fcd9cbf0690f /usr/sbin/sshd
راه حل موقت (پاک کردن فایل مخرب) :
کد:
# rm /lib64/libkeyutils.so.1.9 /lib64/libkeyutils.so.1
# ln -sf /lib64/libkeyutils-1.3.so /lib64/libkeyutils.so.1
# sync
# echo 'b' > /proc/sysrq-trigger # simulate a hard powercut to ensure the rootkit cannot reroot if it's memory resident.
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نمیشه این فایل رو تا زمان بروزرسانی فریز کرد؟
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
parsspace
نمیشه این فایل رو تا زمان بروزرسانی فریز کرد؟
قرنطینه این فایل هیچ مشکلی را برطرف نمی کنه
متاسفانه cxs که هنوز هیچ اقدامی انجام نداده
lmd در اسکنرهای خودش چهار ساعت پیش برزو کرد ولی این مشکل بایستی با ایدپیت سنتوس به صورت کامل حل بشه یا اینکه کنترل پنل ها اقدام کنند که در حال اقدام هستند
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
ertebat7
قرنطینه این فایل هیچ مشکلی را برطرف نمی کنه
متاسفانه cxs که هنوز هیچ اقدامی انجام نداده
lmd در اسکنرهای خودش چهار ساعت پیش برزو کرد ولی این مشکل بایستی با ایدپیت سنتوس به صورت کامل حل بشه یا اینکه کنترل پنل ها اقدام کنند که در حال اقدام هستند
منظورم قرنطینه نبود. با دستور chattr میشه فلگی روش ست کرد که هیچ کس حتی ادمین سیستم هم نمیتونه فایل رو دستکاری کنه. اینجوری فکر کنم بشه ازش محافظت کرد
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
ertebat7
lmd در اسکنرهای خودش اپدیت کرد احتمالا تا دقایقی دیگه این مشکل با اپدیت centos نیز حل بشه
64-Bit:
dedd962724841712a91674845aeba2da /usr/sbin/sshd
32bit
8d705e81fcb1b53c5d38fcd9cbf0690f /usr/sbin/sshd
راه حل موقت (پاک کردن فایل مخرب) :
کد:
# rm /lib64/libkeyutils.so.1.9 /lib64/libkeyutils.so.1
# ln -sf /lib64/libkeyutils-1.3.so /lib64/libkeyutils.so.1
# sync
# echo 'b' > /proc/sysrq-trigger # simulate a hard powercut to ensure the rootkit cannot reroot if it's memory resident.
دوستان کسی این روش رو تائید می کنه ؟
با این کامند می شه چک کرد آلوده شدن سرور رو :
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
DVBBaz
دوستان کسی این روش رو تائید می کنه ؟
با این کامند می شه چک کرد آلوده شدن سرور رو :
خیر فقط فایل رو پاک میکنه و چون اینmaleware بصورت memory resident هستش با ریبوت سرور باز اجرا خواهد شد
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
nginxweb
خیر فقط فایل رو پاک میکنه و چون اینmaleware بصورت memory resident هستش با ریبوت سرور باز اجرا خواهد شد
بله دوست عزیز کاملا درسته بنده هم نوشته بودم: ( راه حل موقت )
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
دوستانی که هنوز آلوده نشدن میتونن با این دستور از آلوده شدن فایلشون جلوگیری کنن
کد:
chattr +i /lib64/libkeyutils.so.1.9
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
parsspace
دوستانی که هنوز آلوده نشدن میتونن با این دستور از آلوده شدن فایلشون جلوگیری کنن
کد:
chattr +i /lib64/libkeyutils.so.1.9
اصلا وجود فایل
/libkeyutils.so.1.9
به معنی آلوده شدن می باشد به این دلیل که این فایل پیش فرض سیستم نمی باشد و توسط هکر generate می گردد و دستور فوق در واقع برای جلوگیری موقت از اعمال تغییرات روی فایل استفاده می گردد
سیستمی که infected نمی باشد همچین فایل رو ندارد
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
nginxweb
خیر فقط فایل رو پاک میکنه و چون اینmaleware بصورت memory resident هستش با ریبوت سرور باز اجرا خواهد شد
درست متوجه شدم ؟
یعنی اگه از این دستور استفاده کنیم تا ریبوت نشه مشکلی نخواهد بود ؟
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
خوب پس میتونیم زودتر خودمون این فایل رو لینک کنیم به فایل اصلی و بعد chattr کنیمش. یه چیزی شبیه همون راه حلی که دوسمتون گفت
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
به نظرم استاپ و غیرفعال کردن سرویس ssh می تونه راه حل موقتی باشه تا زمانی که تیم های امنیتی لینوکس و کلادلینوکس پچ های لازم رو پابلیک کنند، نظر دوستان چیه؟
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
Kian
به نظرم استاپ و غیرفعال کردن سرویس ssh می تونه راه حل موقتی باشه تا زمانی که تیم های امنیتی لینوکس و کلادلینوکس پچ های لازم رو پابلیک کنند، نظر دوستان چیه؟
غیر فعال کردن سرویس اس اس اچ دسترسی شما به سرور رو قطع میکنه. راه حلی که گفتم میتونه از ویروسی شدن سرور جلوگیری کنه. کافیه که اون فایلی که ویروس قراره بسازه رو خودمون بسازیم و فریزش کنیم.
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
parsspace
غیر فعال کردن سرویس اس اس اچ دسترسی شما به سرور رو قطع میکنه. راه حلی که گفتم میتونه از ویروسی شدن سرور جلوگیری کنه. کافیه که اون فایلی که ویروس قراره بسازه رو خودمون بسازیم و فریزش کنیم.
اگه هکر بتونه فایلی که با کامندهایی که داده اید ساختیم رو اوررایت کنه اونوقت تکلیف چیه ؟
ضمنا اگه سی پنل و دایرکت آدمین و ... داشته باشید ConfigServer Explorer موقتا کارتون رو راه میندازه تا پچ کنند.
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
ما با دسترسی ادمین مجوز تغییر روی اون فایل رو غیر فعال میکنیم. و جهت فعال کردن مجدد مجوز تغییر روی اون فایل نیاز به دسترسی ادمین هست. هکر اگه دسترسی ادمین داشته باشه که دیگه نیازی به تغییر اون فایل نداره. با مجوزی که داره همه کار میتونه انجام بده
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
دوستان با دستور زیر آلوده بودن سرور رو میتونید چک کنید:
کد:
lsof -nP | grep libkeyutils
اگر خروجی چیزی مانند زیر بود:
کد:
httpd 879298 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879303 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879305 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879306 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879307 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
httpd 879328 apache mem REG 253,0 34640 30147
63 /lib64/libkeyutils.so.1.9
100% آلوده هستش سرورتون
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
آخرش حتما باید 9 باشه که آلوده باشه؟
کد:
root@server:/tmp# lsof -nP | grep libkeyutils
named 6787 bind mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 15917 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24424 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24509 sug mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24916 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24958 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25000 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25004 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
parsspace
آخرش حتما باید 9 باشه که آلوده باشه؟
کد:
root@server:/tmp# lsof -nP | grep libkeyutils
named 6787 bind mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 15917 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24424 root mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
sshd 24509 sug mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24916 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 24958 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25000 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
php-cgi 25004 XXXX mem REG 8,3 8528 7733419 /lib/libkeyutils.so.1.3
بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:
کد:
strings /lib64/libkeyutils.so.1.3
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
کد:
cupsd 762 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 805 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
whoopsie 1058 whoopsie mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2482 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2483 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2484 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2486 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2487 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22379 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22524 hostnetwork mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
دستور
کد:
strings /lib/i386-linux-gnu/libkeyutils.so.1.4
یه سری چیزا توش نوشته الان چه جوری بفهمم آلوده شده یا نه ؟
سیستم عامل اوبونتو 12.4
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
rezaonline.net
کد:
cupsd 762 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 805 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
whoopsie 1058 whoopsie mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2482 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2483 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2484 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2486 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
saslauthd 2487 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22379 root mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
sshd 22524 hostnetwork mem REG 8,1 13672 393313 /lib/i386-linux-gnu/libkeyutils.so.1.4
دستور
کد:
strings /lib/i386-linux-gnu/libkeyutils.so.1.4
یه سری چیزا توش نوشته الان چه جوری بفهمم آلوده شده یا نه ؟
سیستم عامل اوبونتو 12.4
ظاهراه سیستم شما 32 بیتی هستش
متاسفانه debian هم آلوده کرده این maleware خانمان سوز جهت تست دستور زیرو وارد کنید:
کد:
strings /lib/i386-linux-gnu/libkeyutils.so.1.4
سپس 20 خطر اخر رو بییند آیا چیزی شبیه زیر هستش؟
کد:
p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
1&:?
pm.:?
i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
nginxweb
بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:
کد:
strings /lib64/libkeyutils.so.1.3
حالا باید محتوا چی باشه تا بفهمیم آلوده شده سرور ؟
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
دوستان به جای اينكه محتوای فایلها رو با هم مقايسه كنین خیلی ساده ببینید تاریخ modify شدن فایل كی هست ،ساده - راحت - ایمن :دی مثلا من libkeyutils.so.1.3 رو دارم كه تاریخ مودیفایش مال 7/2012 پس اخیرا كسی توش دست نبرده
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
واقعا خیلی ممنون از اطلاع رسانیتون:x
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...
نقل قول:
نوشته اصلی توسط
nginxweb
دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید
Key authentication رو یکی از دوستان توضیخ میده لطفا ....
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
اگر از ابتدا سرور هاتون رو بطور موثر Secure کنید، این چنین حفره های امنیتی باعث آسیب سرور های شما نخواهند شد. در واقع باگ های سیستم اصلی ممکنه وجود داشته باشند و توسط هکر ها مورد سوء استفاده قرار بگیرند ولی تنظیمات امنیتی و پیشگیرانه در سرور شما موجب کاهش سطوح دسترسی و در نهایت عدم دسترسی موثر از سوی هکر خواهد گردید.
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
Recommendations
- Disable direct root logins.
- Use SSH keys
- Force the use of HTTPS in WHM.
- Scan your system for malware.
- Change root password.
-
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نقل قول:
نوشته اصلی توسط
ertebat7
recommendations
- disable direct root logins.
- use ssh keys
- force the use of https in whm.
- scan your system for malware.
- change root password.
تایید میشه
البته اینو هم اضافه کنم
csf در ورژن 5.76 به بالا قادر به شناسایی هستش اما متاسفانه نمیتونه fix کنه و هنوز عملا جز os reload هیچ آپدیت و راه حل قطعی منتشر نشده و همین طور در حال پیشروی هستش...
