سلام دوستان و همکاران عزیزم
چند روزی هستش که اکسپلویت جدیدی در حال گسترش هستش که بسیار خطرناک هستش و روی Cloud Linux and CentOS systems حتی آخرین ورژن ها براحتی قابل اجرا هستش و attacker حتی میتونه دسترسی روت بگیره..
2 تا از سرورهای ما امروز آلوده شده و ظاهراه در کشورهای دیگه هم افراد بسیاری این مشکل رو دارند
CSF دائما alert زیر رو ارسال میکنه:
fd on server: System Exploit checking detected a possible compromise
این هم محتوای ایمیل:
Possible root compromise: File /lib64/libkeyutils.so.1.9 exists.
ظاهرا تاپیک جامعی در وب هاستینگ تاک اصلی در این مورد فعال هستش که جدید جدید هستش و دائما در حال آپدیت هستش
SSHD Rootkit Rolling around - Web Hosting Talk
راههای زیادی برای جلوگیری پیشنهاد شده از جمله:
کد:
Action required:
------------------------------
Our managed cPanel customers need not do anything unless contacted directly
by us. Self managed customers will need to do the following to detect the
file in question and correct the exploit:
1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'
Please follow the steps below to clear the expliot.
1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1.3 libkeyutils.so.1
6. Restart ssh
7. yum update kernel and Reboot to close any active connections
اما متاسفانه بنده جواب قطعی هنوز نگرفتم و در بعضی سرورهای با اپدیت کرنل اصلا ممکن هستش سرور بالا نیاد... متاسفانه مشکل هنوز باقیست و بسیار هم high risk می باشد
وظیفه دونستم اینجا تاپیکی ایجاد کنم که قبل اینکه خدایی نکرده شما هم گریبانگیر این exploit بشید بتونید پیگیری و پیشگیری کنید
باگ هم ریپورت شده همین 3 روز پیش:
https://bugzilla.redhat.com/show_bug.cgi?id=911937
که فوق العاده خطرناک هستش و به نام kernel ptrace exploit هستش
Priority: high Severity: high
خوشحال هم میشم اگر دوستان راه حلی قطعی برای رفع این مورد میشناسند حتما به اشتراک بگذارند چون امنیت سرورهای تمامی دوستان و همکاران زیر خظر هستش