Página 1 de 4 123 ... ÚltimoÚltimo
Resultados 1 a 10 de 33
  1. #1
    Louco pelo WHT Brasil
    Data de Ingresso
    Jan 2011
    Localização
    Aveiro, Portugal
    Posts
    154

    Exclamation possivel nova vulnerabilidade SSHD

    Pessoal,

    Está em pesquisa no WHT-US, iniciada pelo Steven do Rack911 - uma vulnerabilidade que parece capturar senha de shell, além de enviar spam:

    SSHD Rootkit Rolling around - Web Hosting Talk

    Já foi abordada no forum da cpanel:

    SSHD Rootkit - cPanel Forums

    Pelo visto ninguém sabe a origem, onde começa etc. Estão pesquisando - mas é fácil descobrir se sua maquina está contaminada, basta verificar a existencia de 1 arquivo. Se seu sistema é 32 bits veja se existe o arquivo /lib/libkeyutils.so.1.9 se é 64 bits, veja se existe o arquivo /lib64/libkeyutils.so.1.9

    Fizeram um script simples para detectar e remover o arquivo, mas isso não impede do problema retornar:

    SSHD Rootkit Rolling around - Page 11 - Web Hosting Talk

    script: http://www.ericgillette.com/clients/exploit-cleanup

    Não é um problema do cpanel, já detectaram o problema em máquinas sem cpanel - e aparentemente o problema aparece em máquinas com redhat/centos/cloudlinux e derivados.

    Vale conferir.

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611
    Achei bem estranho isso, porque já fazem alguns dias e havia só um tópico no wht-us sobre o assunto e ainda sim havia bastante dúvida sobre o problema.

    De qualquer forma, vou ver esse script ai p/ ver se tenho algum servidor infectado.

    Obrigado pela dica
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611
    Recebi um email hoje da Wiredtree tratando deste problema:

    Dear Valued WiredTree Customer,



    I am writing you tonight to inform you that we have disabled access to

    port 22 (default SSH port) on your server as temporary precautionary

    security measure. Our security team has good reason to believe there is

    a root-level exploit in the wild for RedHat/CentOS servers as

    compromises have been reported on WebHostingTalk, Reddit, as well as on

    our own network and at other providers we have talked to. There have

    been a number of similarities in the attacks and that is why we have

    decided it is best to block this port temporarily until the attack

    vector is determined. If you require SSH or SFTP access, we can set it up for

    you on an alternate port if you open a Grove ticket. We understand this sudden

    change is an inconvenience and interruption to your work flow, but we

    believe it is in the best interest of your server's security at this time.



    We are watching this issue closely and will be taking further

    precautionary or preventative measures if needed. Again, we are deeply

    sorry for the inconvenience. If you require SSH or SFTP access and you were

    using it on port 22 (if you never changed it, this is what it would be)

    we can change the port and restore access for you if you open a ticket.

    We will roll out updates as soon as they are available.



    If you have any questions, please let us know via Grove ticket.



    Thank you,

    Joe
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,050
    Depois de um e-mail desses, Wiredtree nem ...

  5. #5
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611
    Você diz por eles usarem a porta 22? hehehe
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,050
    Eu digo porque é um ato autoritário e duvido que tenha suporte em TOS.

    Eles podem alertar, eles podem recomendar, mas não podem bloquear portas e causar problemas ao cliente e cinicamente dizer "we are deeply sorry for the inconvenience", inclusive porque parece evidente que a vulnerabilidade não depende da porta utilizada.

    PS: Do WHT-US

    The key is finding out how they are getting in. Fully upgraded, ssh key restricted sshd, on non-standard ports are being compromised.
    Its unlikely its ssh, found a box that had the file but ssh was disabled with a hw firewall.
    Última edição por 5ms; 19-02-2013 às 10:39.

  7. #7
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611
    Eu não havia enxergado isso como um problema (talvez porque o numero da porta p/ mim é indiferente heheheh)

    Mas diante desse problema que é estranho que as vezes parece nem estar sendo levado muito a serio (provavelmente pela falta de conhecimento técnico de gente no mundo inteiro hauhauhauhauha)

    Eu achei a atitude válida, p/ mim ao menos estão tentando fazer alguma coisa...

    Me recordo vagamente, mas antigamente quando contratei meu primeiro servidor com eles, eles ja entregavam com outra porta configurada...depois (quando o suporte ficou saturado e com tecnicos que tinham preguiça de ler meu inglês-indio, passaram a entregar servidores com a porta 22.

    Quem estiver por fora do problema, fazia uso da porta 22 que foi bloqueada deve ter ficado pau da vida hahauhuahua
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  8. #8
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,050
    0day Linux/CentOS SSHd Spam Exploit — libkeyutils.so.1.9

    Posted on February 18, 2013 by John Williams
    We are currently still tracing this exploit and here is what we do know so far:
    HOW TO FIND OUT IF YOU HAVE BEEN ROOTED:
    ls -la /lib64/libkeyutils.so.1.9
    rpm -qf /lib64/libkeyutils.so.1.9
    ls -la /lib/libkeyutils.so.1.9
    rpm -qf /lib/libkeyutils.so.1.9
    If you find the file and RPM shows “is not owned by any package” you have been rooted.
    Currently known affected OSes: RHEL-based servers
    Currently known effected control panels: cPanel, DirectAdmin, and Plesk
    we do not know if controls panels are the reason or not.
    Servers with ksplice have been exploited
    WHAT WE KNOW:

    • I have scoured over CVE’s for the linux kernel up to the latest 3.x version and I didn’t see anything relevant that would cause it in the centos kernels.
    • SSHDs running non normal ports compromised.
    • We think it is some daemon exploit and not a privileged escalation via kernel. Given that some boxes running CageFS were exploited — if exploit would be delivered via end user account, /lib & /lib64 wouldn’t be available to attacker (it would be a copy of those directories instead). So, unless hacker explicitly made a work around to deal with CageFS (which probably possible with ptrace kernel exploit, but highly unlikely), that library would never make it to /lib & /lib64.
    • The data send to that port 53 connection is not a normal DNS packet as far as I can tell.
    • Servers with the latest centos/cloudlinux have been compromised. Both versions 5 and 6.
    • The earliest server I have seen exploited was Late December.
    • The strings are different and changing for the LIB libkeyutils.so.1.9. One was reported to not have the external 53 port call compiled in it.
    • The connections are not typically logged in /var/log/secure UNLESS you raise the log level to verbose. I originally found the connections using lsof, also how I tracked down the outbound smtp connections.
    • When you strace sshd, and login to the server normally there is a outbound port 53 connection to an IP address that is not in /etc/resolv.conf.

    0day Linux/CentOS SSHd Spam Exploit — libkeyutils.so.1.9 | Security, Server Tweaking, IT Management Blog By SolidShellSecurity
    Última edição por 5ms; 19-02-2013 às 11:03.

  9. #9
    Web Hosting Guru
    Data de Ingresso
    May 2011
    Posts
    331


    Ou seja, na verdade não se sabe de onde vem nem pra onde vai, parece que até agora só identificaram a existencia do problema, solução nada.

  10. #10
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,050
    Citação Postado originalmente por maksol Ver Post
    Ou seja, na verdade não se sabe de onde vem nem pra onde vai, parece que até agora só identificaram a existencia do problema, solução nada.
    ... desde dezembro.

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •