Vesta Control Panel - Forum

Community Forum

Skip to content

Advanced search
  • Quick links
    • Main site
    • Github repo
    • Google Search
  • FAQ
  • Login
  • Register
  • Board index Language specific forums Russian (Русский) Общие вопросы
  • Search

В Сети зафиксирован массовый взлом серверов на базе Linux

Общие вопросы о панели управления Vesta
Locked
  • Print view
Advanced search
5 posts • Page 1 of 1
Abraham777
Posts: 76
Joined: Tue Feb 19, 2013 12:40 pm

В Сети зафиксирован массовый взлом серверов на базе Linux

Post by Abraham777 » Thu Feb 21, 2013 6:07 am

Третий день в Сети наблюдается массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из сетевых сервисов, сообщает opennet.ru. Среди взломанных систем отмечаются серверы на базе CentOS и другие дистрибутивы на основе пакетной базы RHEL 5 и 6, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, пока не ясно могут ли они быть источником проникновения. В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак. Маловероятно, что вектор атака связан с недавно обсуждаемой уязвимостю в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (при использовании CageFS маловероятна эксплуатация уязвимости в ядре для повышения привилегий). Среди атакованных система также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Связанная со взломом активность была почищена из логов, но одному из пользователей удалось при помощи snoopy проанализировать действия злоумышленника, установившего бэкдор и почистившего логи. Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).
http://uinc.ru/news/sn19597.html
Top

drlamer
Posts: 40
Joined: Thu Jan 31, 2013 9:57 am

Re: В Сети зафиксирован массовый взлом серверов на базе Linu

Post by drlamer » Tue Feb 26, 2013 9:58 am

Видимо из-за этого файла рутят сервер.

Как найти
- ДЛЯ х64
ls -la /lib64/libkeyutils.so.1.9
rpm -qf /lib64/libkeyutils.so.1.9

- ДЛЯ х32
ls -la /lib/libkeyutils.so.1.9
rpm -qf /lib/libkeyutils.so.1.9

Если файл находится и выдается сообщение RPM “is not owned by any package” - значит ваш сервер отрутили.
Top

XakRu
Posts: 117
Joined: Wed Nov 28, 2012 10:26 pm

Re: В Сети зафиксирован массовый взлом серверов на базе Linu

Post by XakRu » Thu Mar 14, 2013 7:46 pm

ну вы прям как дети. Сделайте авторизацию по ключу и будете ночью спать крепче
Top

XakRu
Posts: 117
Joined: Wed Nov 28, 2012 10:26 pm

Re: В Сети зафиксирован массовый взлом серверов на базе Linu

Post by XakRu » Thu Mar 14, 2013 7:47 pm

и наверное не нужно писать здесь такие новости, я уж подумал что нашли баг с безопасностью в этой панели.
Top

imperio
VestaCP Team
Posts: 7000
Joined: Sat Dec 01, 2012 12:37 pm
Contact:
Contact imperio
Website

Re: В Сети зафиксирован массовый взлом серверов на базе Linu

Post by imperio » Thu Mar 14, 2013 7:51 pm

Действительно путает.
В дальнейшем в этой ветке будут только темы, касающиеся безопасности самой панели.
Подобные темы будут удаляться.
Top


Locked
  • Print view

5 posts • Page 1 of 1

Return to “Общие вопросы”



  • Board index
  • All times are UTC
  • Delete all board cookies
  • The team
Powered by phpBB® Forum Software © phpBB Limited
*Original Author: Brad Veryard
*Updated to 3.2 by MannixMD
 

 

cron

Login  •  Register

I forgot my password