rulinux.net - Новости - Security - В Сети зафиксирован массовый взлом серверов на базе Linux http://rulinux.net/ rulinux.net - Новости - Security - В Сети зафиксирован массовый взлом серверов на базе Linux http://rulinux.net/ http://rulinux.net/rss_icon.png Re:В Сети зафиксирован массовый взлом серверов на базе Linux https://rulinux.net/message.php?newsid=38904&page=1#165491 https://rulinux.net/message.php?newsid=38904&page=1#165491 Tue, 19 Feb 2013 21:49:06 +0400 у меня ASPLinux стоит

]]> Re:В Сети зафиксирован массовый взлом серверов на базе Linux https://rulinux.net/message.php?newsid=38904&page=1#165484 https://rulinux.net/message.php?newsid=38904&page=1#165484 Tue, 19 Feb 2013 20:39:30 +0400 RHEL? Ах-ха-ха! А нам похувсеравено, а нам похувсеравено)))

]]> В Сети зафиксирован массовый взлом серверов на базе Linux https://rulinux.net/message.php?newsid=38904&page=1#165473 https://rulinux.net/message.php?newsid=38904&page=1#165473 Tue, 19 Feb 2013 18:11:41 +0400 Третий день в Сети наблюдается массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из доступных по сети сервисов. Среди взломанных систем отмечаются серверы на базе CentOS и другие дистрибутивы на основе пакетной базы RHEL 5 и 6, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, но пока не ясно могут ли они быть источником проникновения.

В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак.

Маловероятно, что вектор атаки связан с недавно обсуждаемой уязвимостю в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (при использовании CageFS маловероятна эксплуатация уязвимости в ядре для повышения привилегий). Среди атакованных систем также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Связанная со взломом активность была почищена из логов, но одному из пользователей удалось при помощи snoopy проанализировать действия злоумышленника, установившего бэкдор и почистившего логи.

Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).

]]>