اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

[nginxweb]

متاسفانه در حال حاضر تمامی پنل های: Cpanel - Directadmin - Pleask گزارش شدن که آلوده میشن

همچنین به جز CentOs سیستم عامل Debian نیز آلوده گردیده است

[noyfound]

هزاران سرور در دنیا ر حال آلوده شدن هستند
سایت شرکت اپل هم با این روش هک گردید
Apple: We were hacked, too - CNN.com

تمامی تیم های امنیتی در حال کار روی این maleware هستند اما متاسفانه هنوز مشکل حل نشده و همین طور سرورها در حال آلوده شدن هستند

از كجا می‌گید این روش ؟! متن خبر می‌گه كه بعضی كامپیوترهای كارمندان اپل با استفاده از یك اكسپلویت در جاوا هك شده كه اپل پچش رو داده و مشكل حل شده ! اون كجا و این مورد كجا !

[ertebat7]

lmd در اسکنرهای خودش اپدیت کرد احتمالا تا دقایقی دیگه این مشکل با اپدیت centos نیز حل بشه

64-Bit:
dedd962724841712a91674845aeba2da /usr/sbin/sshd

32bit
8d705e81fcb1b53c5d38fcd9cbf0690f /usr/sbin/sshd

راه حل موقت (پاک کردن فایل مخرب) :

کد:

# rm /lib64/libkeyutils.so.1.9 /lib64/libkeyutils.so.1
# ln -sf /lib64/libkeyutils-1.3.so /lib64/libkeyutils.so.1
# sync
# echo 'b' > /proc/sysrq-trigger  # simulate a hard powercut to ensure the rootkit cannot reroot if it's memory resident.

[parsspace]

نمیشه این فایل رو تا زمان بروزرسانی فریز کرد؟

[ertebat7]

نمیشه این فایل رو تا زمان بروزرسانی فریز کرد؟

قرنطینه این فایل هیچ مشکلی را برطرف نمی کنه
متاسفانه cxs که هنوز هیچ اقدامی انجام نداده
lmd در اسکنرهای خودش چهار ساعت پیش برزو کرد ولی این مشکل بایستی با ایدپیت سنتوس به صورت کامل حل بشه یا اینکه کنترل پنل ها اقدام کنند که در حال اقدام هستند

[parsspace]

قرنطینه این فایل هیچ مشکلی را برطرف نمی کنه
متاسفانه cxs که هنوز هیچ اقدامی انجام نداده
lmd در اسکنرهای خودش چهار ساعت پیش برزو کرد ولی این مشکل بایستی با ایدپیت سنتوس به صورت کامل حل بشه یا اینکه کنترل پنل ها اقدام کنند که در حال اقدام هستند

منظورم قرنطینه نبود. با دستور chattr میشه فلگی روش ست کرد که هیچ کس حتی ادمین سیستم هم نمیتونه فایل رو دستکاری کنه. اینجوری فکر کنم بشه ازش محافظت کرد

[DVBBaz]

lmd در اسکنرهای خودش اپدیت کرد احتمالا تا دقایقی دیگه این مشکل با اپدیت centos نیز حل بشه

64-Bit:
dedd962724841712a91674845aeba2da /usr/sbin/sshd

32bit
8d705e81fcb1b53c5d38fcd9cbf0690f /usr/sbin/sshd

راه حل موقت (پاک کردن فایل مخرب) :

کد:

# rm /lib64/libkeyutils.so.1.9 /lib64/libkeyutils.so.1
# ln -sf /lib64/libkeyutils-1.3.so /lib64/libkeyutils.so.1
# sync
# echo 'b' > /proc/sysrq-trigger  # simulate a hard powercut to ensure the rootkit cannot reroot if it's memory resident.

دوستان کسی این روش رو تائید می کنه ؟

با این کامند می شه چک کرد آلوده شدن سرور رو :

کد:

$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh | /bin/bash

[nginxweb]

دوستان کسی این روش رو تائید می کنه ؟

با این کامند می شه چک کرد آلوده شدن سرور رو :

کد:

$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh | /bin/bash

خیر فقط فایل رو پاک میکنه و چون اینmaleware بصورت memory resident هستش با ریبوت سرور باز اجرا خواهد شد

[ertebat7]

خیر فقط فایل رو پاک میکنه و چون اینmaleware بصورت memory resident هستش با ریبوت سرور باز اجرا خواهد شد

بله دوست عزیز کاملا درسته بنده هم نوشته بودم: ( راه حل موقت )

[parsspace]

دوستانی که هنوز آلوده نشدن میتونن با این دستور از آلوده شدن فایلشون جلوگیری کنن

کد:

chattr +i /lib64/libkeyutils.so.1.9