We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
В Сети зафиксирован массовый взлом серверов на базе Linux
-
- Posts: 76
- Joined: Tue Feb 19, 2013 12:40 pm
В Сети зафиксирован массовый взлом серверов на базе Linux
Третий день в Сети наблюдается массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из сетевых сервисов, сообщает opennet.ru. Среди взломанных систем отмечаются серверы на базе CentOS и другие дистрибутивы на основе пакетной базы RHEL 5 и 6, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, пока не ясно могут ли они быть источником проникновения. В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак. Маловероятно, что вектор атака связан с недавно обсуждаемой уязвимостю в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (при использовании CageFS маловероятна эксплуатация уязвимости в ядре для повышения привилегий). Среди атакованных система также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Связанная со взломом активность была почищена из логов, но одному из пользователей удалось при помощи snoopy проанализировать действия злоумышленника, установившего бэкдор и почистившего логи. Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).
http://uinc.ru/news/sn19597.html
http://uinc.ru/news/sn19597.html
Re: В Сети зафиксирован массовый взлом серверов на базе Linu
Видимо из-за этого файла рутят сервер.
Как найти
- ДЛЯ х64
ls -la /lib64/libkeyutils.so.1.9
rpm -qf /lib64/libkeyutils.so.1.9
- ДЛЯ х32
ls -la /lib/libkeyutils.so.1.9
rpm -qf /lib/libkeyutils.so.1.9
Если файл находится и выдается сообщение RPM “is not owned by any package” - значит ваш сервер отрутили.
Как найти
- ДЛЯ х64
ls -la /lib64/libkeyutils.so.1.9
rpm -qf /lib64/libkeyutils.so.1.9
- ДЛЯ х32
ls -la /lib/libkeyutils.so.1.9
rpm -qf /lib/libkeyutils.so.1.9
Если файл находится и выдается сообщение RPM “is not owned by any package” - значит ваш сервер отрутили.
Re: В Сети зафиксирован массовый взлом серверов на базе Linu
ну вы прям как дети. Сделайте авторизацию по ключу и будете ночью спать крепче
Re: В Сети зафиксирован массовый взлом серверов на базе Linu
и наверное не нужно писать здесь такие новости, я уж подумал что нашли баг с безопасностью в этой панели.
Re: В Сети зафиксирован массовый взлом серверов на базе Linu
Действительно путает.
В дальнейшем в этой ветке будут только темы, касающиеся безопасности самой панели.
Подобные темы будут удаляться.
В дальнейшем в этой ветке будут только темы, касающиеся безопасности самой панели.
Подобные темы будут удаляться.