Rastreando o comprometimento da raiz [fechado]

2

Em relação ao seguinte:

link < href="http://www.reddit.com/r/netsec/comments/18ro3c/sshd_rootkit/"> link

Aparentemente parece haver um monte de servidores redhat sendo backdoored através de uma biblioteca. Alguém tem conselhos sobre como rastrear e encontrar a quebra inicial de contato?

    
por Red Line Code 19.02.2013 / 22:23

1 resposta

1

De acordo com os links:

"Soa mais como eles entram através do php, depois usam o sshd back-door usando uma biblioteca ruim quando eles têm root. O vetor de ataque inicial não é uma vulnerabilidade no sshd.

Após uma leitura mais aprofundada, o consenso parece ser que o ataque inicial é feito através do cpanel em máquinas mal protegidas. Apenas máquinas de 64 bits obtêm o sshd suportado pelo back, que é feito através de /lib64/libkeyutils.so.1.9, que não deve estar presente no sistema de outra forma. "

Agora, por que a vulnerabilidade baseada em PHP acaba permitindo que o acesso root seja um mistério. Pode ser que o apache estivesse rodando com privilégios de root e, assim, os arquivos PHP também foram executados com acesso semelhante. A menos que você tenha o PHP / Apache rodando com privilégios de root, deve haver algo para se preocupar. Como sugerido, os comandos "rpm -qf /lib/libkeyutils.so.1.9" podem ser usados para ver se você está afetado ou não.

    
por 20.02.2013 / 06:04