forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Сети зафиксирован массовый взлом серверов на базе Linux"
Отправлено opennews, 19-Фев-13 14:03

Третий день в Сети наблюдается (http://blog.solidshellsecurity.com/2013/02/18/0day-linuxcent.../) массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из сетевых сервисов. Среди взломанных систем отмечаются серверы на базе CentOS и других дистрибутивов на основе пакетной базы RHEL, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin и Plesk, пока не ясно могут ли они быть источником проникновения.

В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак.

Маловероятно, что вектор атака связан с недавно обсуждаемой уязвимостю (http://www.opennet.ru/opennews/art.shtml?num=36132) в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (http://docs.cloudlinux.com/index.html?cagefs.html). Среди атакованных система также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту.

Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).

URL: http://community.solidshellsecurity.com/topic/27344-0day-lin.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=36155

Исходное сообщение
"В Сети зафиксирован массовый взлом серверов на базе Linux" Отправлено opennews, 19-Фев-13 14:03
Третий день в Сети наблюдается (http://blog.solidshellsecurity.com/2013/02/18/0day-linuxcent.../) массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из сетевых сервисов. Среди взломанных систем отмечаются серверы на базе CentOS и других дистрибутивов на основе пакетной базы RHEL, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin и Plesk, пока не ясно могут ли они быть источником проникновения. В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак. Маловероятно, что вектор атака связан с недавно обсуждаемой уязвимостю (http://www.opennet.ru/opennews/art.shtml?num=36132) в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (http://docs.cloudlinux.com/index.html?cagefs.html). Среди атакованных система также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9). URL: http://community.solidshellsecurity.com/topic/27344-0day-lin.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=36155

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Третий день в Сети наблюдается (http://blog.solidshellsecurity.com/2013/02/18/0day-linuxcentos-sshd-spam-exploit-libkeyutils-so-1-9/) 
> массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается 
> через неисправленную 0-day уязвимость в одном из сетевых сервисов. Среди взломанных 
> систем отмечаются серверы на базе CentOS и других дистрибутивов на основе 
> пакетной базы RHEL, на которых установлены все доступные обновления. На многих 
> взломанных системах используются панели управления cPanel, DirectAdmin и Plesk, пока не 
> ясно могут ли они быть источником проникновения.

> В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 
> (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает 
> устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по 
> протоколу UDP осуществляется отправка данных о введённых логине и пароле на 
> 53 порт внешнего хоста. Кроме того, на сервер размещается код для 
> участие в ботнете, используемом для рассылки спама и возможно для совершения 
> дальнейших атак.

> Маловероятно, что вектор атака связан с недавно обсуждаемой уязвимостю (http://www.opennet.ru/opennews/art.shtml?num=36132) 
> в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного 
> окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (http://docs.cloudlinux.com/index.html?cagefs.html). 
> Среди атакованных система также отмечаются серверы с системой обновления ядра ksplice 
> и серверы с sshd на нестандартном порту.

> Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, 
> не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls 
> -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: 
> ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).

> URL: http://community.solidshellsecurity.com/topic/27344-0day-linuxcentos-sshd-spam-exploit-—-libkeyutilsso19/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=36155

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру