По интернету прокатилась волна массовых взломов linux-серверов.
До сих пор до конца не известен путь помещения руткита в систему. На многих взломанных серверах используются панели управления DirectAdmin, Parallels Plesk, cPanel. Уже появилась информация, что ряд аккаунтов был взломан возможно в результате утечки паролей клиентов компании cPanel, используемых службой удаленной поддержки. Кроме того пароли перехватывались через установку троянского ПО на системы Windows. Но это не объясняет как были взломаны системы с другими панелями управления.
Руткит оставляет файлы /lib64/libkeyutils.so.1.9 в 64-разрядных системах и /lib/libkeyutils.so.1.9 — в 32-разрядных, также он меняет ссылку /lib64/libkeyutils.so.1 (и /lib/libkeyutils.so.1) таким образом, чтобы она вела на эту библиотеку.
Возможные последствия руткита:
- кража паролей, ключей SSH и файла /etc/shadow
- установка бэкдора, который обеспечивает свободный доступ к серверу
- рассылка спама с сервера
Чтобы проверить, заражен ли ваш сервер, запустите следующий сценарий:
$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh | /bin/bashТакже существует сценарий, позволяющий восстановить исходные ссылки:
$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh | /bin/bashЭтот сценарий позволяет исправить только две упомянутые выше библиотеки и не гарантирует обнаружение и удаление всех возможных вариаций бэкдора sshd. Позднее он может быть расширен.
В случае обнаружения зараженных библиотек потребуется перезагрузить сервер после восстановления ссылок. Во избежание повторного заражения до выяснения всех обстоятельств рекомендуется полностью закрыть SSH-доступ к серверу из интернета, разрешив подключения только с доверенных IP-адресов. Также рекомендуется изменить пароли для SSH и все остальные административные пароли, используемые на сервере.
Дополнение от 27.04.1023 — На серверах cPanel выявлен интегрированный в apache бэкдор
Уже не первый раз cPanel фигурирует в списке взломанных панелей управления. Бэкдор добавляется непосредственно в исполняемый файл и использует вызов open_tty, которого нет в оригинальном apache, поэтому он может быть выявлен с помощью команды
# grep -r open_tty /usr/local/apache/
Вредоносный код время от времени перенапрявляет запросы клиентов на сайты с кодом эксплуатации уязвимостей браузеров. После активации кода эксплуатации уязвимости пользователь перенаправляется на изначально запрощенный адрес, так как он передается в качестве аргумента.
Пока не ясно каким образом код был интегрирован и предполагается, что это либо утечка паролей доступа к SSH, либо пароль был подобран.