-
February 19th, 2013, 20:30
#1
عضو دائم
اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
سلام دوستان و همکاران عزیزم
چند روزی هستش که اکسپلویت جدیدی در حال گسترش هستش که بسیار خطرناک هستش و روی Cloud Linux and CentOS systems حتی آخرین ورژن ها براحتی قابل اجرا هستش و attacker حتی میتونه دسترسی روت بگیره..
2 تا از سرورهای ما امروز آلوده شده و ظاهراه در کشورهای دیگه هم افراد بسیاری این مشکل رو دارند
CSF دائما alert زیر رو ارسال میکنه:
fd on server: System Exploit checking detected a possible compromise
این هم محتوای ایمیل:
Possible root compromise: File /lib64/libkeyutils.so.1.9 exists.
ظاهرا تاپیک جامعی در وب هاستینگ تاک اصلی در این مورد فعال هستش که جدید جدید هستش و دائما در حال آپدیت هستش
SSHD Rootkit Rolling around - Web Hosting Talk
راههای زیادی برای جلوگیری پیشنهاد شده از جمله:
کد:
Action required:
------------------------------
Our managed cPanel customers need not do anything unless contacted directly
by us. Self managed customers will need to do the following to detect the
file in question and correct the exploit:
1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'
Please follow the steps below to clear the expliot.
1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1.3 libkeyutils.so.1
6. Restart ssh
7. yum update kernel and Reboot to close any active connections
اما متاسفانه بنده جواب قطعی هنوز نگرفتم و در بعضی سرورهای با اپدیت کرنل اصلا ممکن هستش سرور بالا نیاد... متاسفانه مشکل هنوز باقیست و بسیار هم high risk می باشد
وظیفه دونستم اینجا تاپیکی ایجاد کنم که قبل اینکه خدایی نکرده شما هم گریبانگیر این exploit بشید بتونید پیگیری و پیشگیری کنید
باگ هم ریپورت شده همین 3 روز پیش:
https://bugzilla.redhat.com/show_bug.cgi?id=911937
که فوق العاده خطرناک هستش و به نام kernel ptrace exploit هستش
Priority: high Severity: high
خوشحال هم میشم اگر دوستان راه حلی قطعی برای رفع این مورد میشناسند حتما به اشتراک بگذارند چون امنیت سرورهای تمامی دوستان و همکاران زیر خظر هستش
:: کارشناس فنی هاستینگ و مدیریت سرور
:: کانفیگ حرفه ای سرور مجازی و اختصاصی و رفع اشکال سرور از سال 1388
:: وب سایت :
www.nginxweb.ir | تلفن شرکت:
02191300834
-
تعداد تشکر ها ازnginxweb به دلیل پست مفید
.K.H.A., 3enator, ali_fattahi, amirfateh, avalhost, AvalinHost, compiler, it-net, Kian, mobin96, mohsen1, Mr.Bijan SQL, nader12, OnlineServer, persiandroid, servervds.com, seyyed_ahmad, smart_soheil, SoltanHost.Net, tizparvaz
-
February 19th, 2013 20:30
# ADS
-
February 19th, 2013, 21:11
#2
عضو دائم
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
همکاران عزیزم حتما این اکسپلویتو جدی بگیرید CSF از ورژن 5.76 به بعد شناسایی میکنه اما fix نمی کنه
:: کارشناس فنی هاستینگ و مدیریت سرور
:: کانفیگ حرفه ای سرور مجازی و اختصاصی و رفع اشکال سرور از سال 1388
:: وب سایت :
www.nginxweb.ir | تلفن شرکت:
02191300834
-
تعداد تشکر ها ازnginxweb به دلیل پست مفید
-
February 19th, 2013, 21:47
#3
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نوشته اصلی توسط
nginxweb
اما متاسفانه بنده جواب قطعی هنوز نگرفتم و در بعضی سرورهای با اپدیت کرنل اصلا ممکن هستش سرور بالا نیاد... متاسفانه مشکل هنوز باقیست و بسیار هم high risk می باشد
وظیفه دونستم اینجا تاپیکی ایجاد کنم که قبل اینکه خدایی نکرده شما هم گریبانگیر این exploit بشید بتونید پیگیری و پیشگیری کنید
باگ هم ریپورت شده همین 3 روز پیش:
https://bugzilla.redhat.com/show_bug.cgi?id=911937
که فوق العاده خطرناک هستش و به نام
kernel ptrace exploit هستش
Priority: high Severity: high
خوشحال هم میشم اگر دوستان راه حلی قطعی برای رفع این مورد میشناسند حتما به اشتراک بگذارند چون امنیت سرورهای تمامی دوستان و همکاران زیر خظر هستش
کسی انجام داده مشکلی نداشت؟
-
-
February 19th, 2013, 21:57
#4
عضو دائم
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
هنوز راه حل قطعی پیدا نکردم شخضا چون فایل
/lib64/libkeyutils.so
را هم بخواین پاک کنید SSH از کار میوفته همچین خیلی کامند ها مثل wget و..
:: کارشناس فنی هاستینگ و مدیریت سرور
:: کانفیگ حرفه ای سرور مجازی و اختصاصی و رفع اشکال سرور از سال 1388
:: وب سایت :
www.nginxweb.ir | تلفن شرکت:
02191300834
-
-
February 19th, 2013, 22:14
#5
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
SSHD Exploit
چیز کوچیک هست که کسی پست نمیده؟
-
-
February 19th, 2013, 23:50
#6
عضو دائم
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
خود cloud linux هم اشاره کرده تضمینی نمیده نسبت به کارکرد اسکریپت...
تمامی سرورهای لحظه به لحظه داره الوده میشه به این اکسپلویت واقعا اوضاع بدی داره اتفاق میافته
:: کارشناس فنی هاستینگ و مدیریت سرور
:: کانفیگ حرفه ای سرور مجازی و اختصاصی و رفع اشکال سرور از سال 1388
:: وب سایت :
www.nginxweb.ir | تلفن شرکت:
02191300834
-
تعداد تشکر ها از nginxweb به دلیل پست مفید
-
February 20th, 2013, 01:02
#7
Re: اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
تا حالا تمام قربانی ها از پنل استفاده می کردن یا cp یا da
پاک کردن این فایل و تغییر پورت و پسورد ssh مشکلی رو حل نمیکنه باید بفهمیم که از کجا برای اولین بار وارد شدن که هنوز هیشکی نمیدونه.
-
-
February 20th, 2013, 01:09
#8
عضو دائم
پاسخ : Re: اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نوشته اصلی توسط
noyfound
تا حالا تمام قربانی ها از پنل استفاده می کردن یا cp یا da
پاک کردن این فایل و تغییر پورت و پسورد ssh مشکلی رو حل نمیکنه باید بفهمیم که از کجا برای اولین بار وارد شدن که هنوز هیشکی نمیدونه.
متاسفانه بله ... همین طور لحظه به لحظه در حال publish شدن هستش
:: کارشناس فنی هاستینگ و مدیریت سرور
:: کانفیگ حرفه ای سرور مجازی و اختصاصی و رفع اشکال سرور از سال 1388
:: وب سایت :
www.nginxweb.ir | تلفن شرکت:
02191300834
-
-
February 20th, 2013, 03:36
#9
عضو دائم
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
هزاران سرور در دنیا ر حال آلوده شدن هستند
سایت شرکت اپل هم با این روش هک گردید
Apple: We were hacked, too - CNN.com
تمامی تیم های امنیتی در حال کار روی این maleware هستند اما متاسفانه هنوز مشکل حل نشده و همین طور سرورها در حال آلوده شدن هستند
:: کارشناس فنی هاستینگ و مدیریت سرور
:: کانفیگ حرفه ای سرور مجازی و اختصاصی و رفع اشکال سرور از سال 1388
:: وب سایت :
www.nginxweb.ir | تلفن شرکت:
02191300834
-
تعداد تشکر ها ازnginxweb به دلیل پست مفید
-
February 20th, 2013, 04:33
#10
پاسخ : اکسپلویت بسیار خطرناک جدید SSHD Rootkit (همکاران مدیر سرور بخوانید)
نوشته اصلی توسط
nginxweb
هزاران سرور در دنیا ر حال آلوده شدن هستند
سایت شرکت اپل هم با این روش هک گردید
Apple: We were hacked, too - CNN.com
تمامی تیم های امنیتی در حال کار روی این maleware هستند اما متاسفانه هنوز مشکل حل نشده و همین طور سرورها در حال آلوده شدن هستند
عجب چیزیه تا پیدا شدن راه حل دعا کنیم خدا رحم کنه
-
تعداد تشکر ها از tizparvaz به دلیل پست مفید
پاسخ با نقل قول
