sshd-руткит на серверах с Linux

По интернету прокатилась волна массовых взломов linux-серверов. 

До сих пор до конца не известен путь помещения руткита в систему. На многих взломанных серверах используются панели управления DirectAdmin, Parallels Plesk, cPanel. Уже появилась информация, что ряд аккаунтов был взломан возможно в результате утечки паролей клиентов компании cPanel, используемых службой удаленной поддержки. Кроме того пароли перехватывались через установку троянского ПО на системы Windows. Но это не объясняет как были взломаны системы с другими панелями управления.

Руткит оставляет файлы /lib64/libkeyutils.so.1.9 в 64-разрядных системах и /lib/libkeyutils.so.1.9 — в 32-разрядных, также он меняет ссылку /lib64/libkeyutils.so.1/lib/libkeyutils.so.1) таким образом, чтобы она вела на эту библиотеку.

Возможные последствия руткита:

  • кража паролей, ключей SSH и файла /etc/shadow
  • установка бэкдора, который обеспечивает свободный доступ к серверу
  • рассылка спама с сервера

Чтобы проверить, заражен ли ваш сервер, запустите следующий сценарий:

$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh | /bin/bash

Также существует сценарий, позволяющий восстановить исходные ссылки:

$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh | /bin/bash

Этот сценарий позволяет исправить только две упомянутые выше библиотеки и не гарантирует обнаружение и удаление всех возможных вариаций бэкдора sshd. Позднее он может быть расширен.

В случае обнаружения зараженных библиотек потребуется перезагрузить сервер после восстановления ссылок. Во избежание повторного заражения до выяснения всех обстоятельств рекомендуется полностью закрыть SSH-доступ к серверу из интернета, разрешив подключения только с доверенных IP-адресов. Также рекомендуется изменить пароли для SSH и все остальные административные пароли, используемые на сервере.

Дополнение от 27.04.1023 — На серверах cPanel выявлен интегрированный в apache бэкдор

Уже не первый раз cPanel фигурирует в списке взломанных панелей управления. Бэкдор добавляется непосредственно в исполняемый файл и использует вызов open_tty, которого нет в оригинальном apache, поэтому он может быть выявлен с помощью команды

# grep -r open_tty /usr/local/apache/

Вредоносный код время от времени перенапрявляет запросы клиентов на сайты с кодом эксплуатации уязвимостей браузеров. После активации кода эксплуатации уязвимости пользователь перенаправляется на изначально запрощенный адрес, так как он передается в качестве аргумента.

Пока не ясно каким образом код был интегрирован и предполагается, что это либо утечка паролей доступа к SSH, либо пароль был подобран.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.