اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

**nginxweb** · February 20th, 2013, 15:39

دوستان با دستور زیر آلوده بودن سرور رو میتونید چک کنید:

کد:

lsof -nP | grep libkeyutils

اگر خروجی چیزی مانند زیر بود:

کد:

httpd      879298    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879303    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879305    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879306    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879307    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879328    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9

100% آلوده هستش سرورتون

**parsspace** · February 20th, 2013, 15:55

آخرش حتما باید 9 باشه که آلوده باشه؟

کد:

root@server:/tmp# lsof -nP | grep libkeyutils
named      6787       bind  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      15917       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24424       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24509        sug  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24916 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24958 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25000 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25004 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3

**nginxweb** · February 20th, 2013, 16:02

نوشته اصلی توسط parsspace

آخرش حتما باید 9 باشه که آلوده باشه؟

کد:

root@server:/tmp# lsof -nP | grep libkeyutils
named      6787       bind  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      15917       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24424       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24509        sug  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24916 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24958 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25000 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25004 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

 strings /lib64/libkeyutils.so.1.3

**DVBBaz** · February 20th, 2013, 18:00

نوشته اصلی توسط nginxweb

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

 strings /lib64/libkeyutils.so.1.3

حالا باید محتوا چی باشه تا بفهمیم آلوده شده سرور ؟

**parsspace** · February 21st, 2013, 02:31

نوشته اصلی توسط nginxweb

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

 strings /lib64/libkeyutils.so.1.3

خوب تو این فایل باید دنبال چی باشم؟

**nginxweb** · February 21st, 2013, 02:42

نوشته اصلی توسط parsspace

خوب تو این فایل باید دنبال چی باشم؟

20 خط آخرش رو ببینید اگر چیزی مشابه این باشه مطمئنا آلوده هستید

کد:

p(.:?
P&(:?
Pi.:?
\#:?
`#:?
&.:?
.&:?
i.:?
h.:?
 1&:?
pm.:?
 i&:?
0R#:?
k.:?
g#:?
X&:?
h.:?
@l#:?

**nginxweb** · February 20th, 2013, 16:15

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

**DVBBaz** · February 20th, 2013, 20:13

این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...

کد:

Time:     Wed Feb 20 19:11:20 2013 +0330
IP:       94.91.131.100 (IT/Italy/host100-131-static.91-94-b.business.telecomitalia.it)
Failures: 5 (smtpauth)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

2013-02-20 19:11:09 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:11 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:13 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:15 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:18 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)

کد:

نوشته اصلی توسط nginxweb

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

Key authentication رو یکی از دوستان توضیخ میده لطفا ....

**Kian** · February 20th, 2013, 23:27

نوشته اصلی توسط DVBBaz

این ایمیل فایروال بی ربط به این موضوع نیست فکر کنم ...

کد:

Time:     Wed Feb 20 19:11:20 2013 +0330
IP:       94.91.131.100 (IT/Italy/host100-131-static.91-94-b.business.telecomitalia.it)
Failures: 5 (smtpauth)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

2013-02-20 19:11:09 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:11 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:13 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:15 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)
2013-02-20 19:11:18 dovecot_login authenticator failed for host100-131-static.91-94-b.business.telecomitalia.it ([192.168.2.33]) [94.91.131.100]:26659: 535 Incorrect authentication data (set_id=anonymous)

کد:

این ایمل مربوط به بلوکه کردن آی پی یک روبات اسپمر هست

**~~i-whost~~** · February 21st, 2013, 01:20

نوشته اصلی توسط nginxweb

دوستان بشدت پیشنهاد میشه که دسترسی به SSH سرورتونو رو از حالت Password Method به حالت Key authentication تغییر دهید
100% فعلا اینکار رو کنید و پورت SSH رو هم به هیچ وجه پیش فرض(22) قرار ندهید

نحوه نفوذ به سیستم چطور هست؟ هنوز مشخص نشد؟

موضوع: اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

ابزارهای موضوع

نحوه نمایش موضوع

Hybrid View

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از nginxweb به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از parsspace به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از nginxweb به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از nginxweb به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها ازKian به دلیل پست مفید

پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

تعداد تشکر ها از i-whost به دلیل پست مفید

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

نرم افزار اکسپلویت باگ جدید Kloxo

اموزش نرم افزار متاسپلویت بصورت جامع در( 10 بخش)

شرکتهای هاستینگ و مدیران سرورهای لینوکسی مراقب باشند - کد مخرب بسیار خطرناک sshd

تعریف اکسپلویت برای cxs

مجوز های ارسال و ویرایش