اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

[nginxweb]

آخرش حتما باید 9 باشه که آلوده باشه؟

کد:

root@server:/tmp# lsof -nP | grep libkeyutils
named      6787       bind  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      15917       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24424       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24509        sug  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24916 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24958 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25000 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25004 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

 strings /lib64/libkeyutils.so.1.3

[DVBBaz]

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

 strings /lib64/libkeyutils.so.1.3

حالا باید محتوا چی باشه تا بفهمیم آلوده شده سرور ؟

[parsspace]

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

 strings /lib64/libkeyutils.so.1.3

خوب تو این فایل باید دنبال چی باشم؟

[nginxweb]

خوب تو این فایل باید دنبال چی باشم؟

20 خط آخرش رو ببینید اگر چیزی مشابه این باشه مطمئنا آلوده هستید

کد:

p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
 1&:?
pm.:?
 i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?