اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)

[nginxweb]

دوستانی که هنوز آلوده نشدن میتونن با این دستور از آلوده شدن فایلشون جلوگیری کنن

کد:

chattr +i /lib64/libkeyutils.so.1.9

اصلا وجود فایل
/libkeyutils.so.1.9
به معنی آلوده شدن می باشد به این دلیل که این فایل پیش فرض سیستم نمی باشد و توسط هکر generate می گردد و دستور فوق در واقع برای جلوگیری موقت از اعمال تغییرات روی فایل استفاده می گردد
سیستمی که infected نمی باشد همچین فایل رو ندارد

[DVBBaz]

خیر فقط فایل رو پاک میکنه و چون اینmaleware بصورت memory resident هستش با ریبوت سرور باز اجرا خواهد شد

درست متوجه شدم ؟
یعنی اگه از این دستور استفاده کنیم تا ریبوت نشه مشکلی نخواهد بود ؟

[parsspace]

خوب پس میتونیم زودتر خودمون این فایل رو لینک کنیم به فایل اصلی و بعد chattr کنیمش. یه چیزی شبیه همون راه حلی که دوسمتون گفت

[Kian]

به نظرم استاپ و غیرفعال کردن سرویس ssh می تونه راه حل موقتی باشه تا زمانی که تیم های امنیتی لینوکس و کلادلینوکس پچ های لازم رو پابلیک کنند، نظر دوستان چیه؟

[parsspace]

به نظرم استاپ و غیرفعال کردن سرویس ssh می تونه راه حل موقتی باشه تا زمانی که تیم های امنیتی لینوکس و کلادلینوکس پچ های لازم رو پابلیک کنند، نظر دوستان چیه؟

غیر فعال کردن سرویس اس اس اچ دسترسی شما به سرور رو قطع میکنه. راه حلی که گفتم میتونه از ویروسی شدن سرور جلوگیری کنه. کافیه که اون فایلی که ویروس قراره بسازه رو خودمون بسازیم و فریزش کنیم.

[Kian]

غیر فعال کردن سرویس اس اس اچ دسترسی شما به سرور رو قطع میکنه. راه حلی که گفتم میتونه از ویروسی شدن سرور جلوگیری کنه. کافیه که اون فایلی که ویروس قراره بسازه رو خودمون بسازیم و فریزش کنیم.

اگه هکر بتونه فایلی که با کامندهایی که داده اید ساختیم رو اوررایت کنه اونوقت تکلیف چیه ؟

ضمنا اگه سی پنل و دایرکت آدمین و ... داشته باشید ConfigServer Explorer موقتا کارتون رو راه میندازه تا پچ کنند.

[parsspace]

ما با دسترسی ادمین مجوز تغییر روی اون فایل رو غیر فعال میکنیم. و جهت فعال کردن مجدد مجوز تغییر روی اون فایل نیاز به دسترسی ادمین هست. هکر اگه دسترسی ادمین داشته باشه که دیگه نیازی به تغییر اون فایل نداره. با مجوزی که داره همه کار میتونه انجام بده

[nginxweb]

دوستان با دستور زیر آلوده بودن سرور رو میتونید چک کنید:

کد:

lsof -nP | grep libkeyutils

اگر خروجی چیزی مانند زیر بود:

کد:

httpd      879298    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879303    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879305    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879306    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879307    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9
httpd      879328    apache  mem       REG              253,0     34640    30147
63 /lib64/libkeyutils.so.1.9

100% آلوده هستش سرورتون

[parsspace]

آخرش حتما باید 9 باشه که آلوده باشه؟

کد:

root@server:/tmp# lsof -nP | grep libkeyutils
named      6787       bind  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      15917       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24424       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24509        sug  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24916 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24958 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25000 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25004 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3

[nginxweb]

آخرش حتما باید 9 باشه که آلوده باشه؟

کد:

root@server:/tmp# lsof -nP | grep libkeyutils
named      6787       bind  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      15917       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24424       root  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
sshd      24509        sug  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24916 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   24958 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25000 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3
php-cgi   25004 XXXX  mem       REG                8,3      8528    7733419 /lib/libkeyutils.so.1.3

بله فایل اصلی 9 هستش البته هکر میتونه به هر شکل و فایلی lib فایل مورد نظرشو بسازه متاسفانه سعکی کنید بصورت استرینگ هم میتونید محتوا رو بررسی کنید با دستور زیر:

کد:

 strings /lib64/libkeyutils.so.1.3