В Сети зафиксирован массовый взлом серверов на базе Linux

Третий день в Сети наблюдается массовый взлом серверов на базе Linux. Имеется подозрение, что атака совершается через неисправленную 0-day уязвимость в одном из сетевых сервисов, сообщает opennet.ru. Среди взломанных систем отмечаются серверы на базе CentOS и другие дистрибутивы на основе пакетной базы RHEL 5 и 6, на которых установлены все доступные обновления. На многих взломанных системах используются панели управления cPanel, DirectAdmin, ISP config и Plesk, пока не ясно могут ли они быть источником проникновения. В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9). После взлома процесс sshd начинает устанавливать подозрительные соединения: при входе на взломанный сервер по ssh, по протоколу UDP осуществляется отправка данных о введённых логине и пароле на 53 порт внешнего хоста. Кроме того, на сервер размещается код для участие в ботнете, используемом для рассылки спама и возможно для совершения дальнейших атак. Маловероятно, что вектор атака связан с недавно обсуждаемой уязвимостю в ядре Linux (CVE-2013-0871), кроме всего прочего выявлены случаи взлома изолированного окружения, построенного на базе дистрибутива CloudLinux с включенным CageFS (при использовании CageFS маловероятна эксплуатация уязвимости в ядре для повышения привилегий). Среди атакованных система также отмечаются серверы с системой обновления ядра ksplice и серверы с sshd на нестандартном порту. Связанная со взломом активность была почищена из логов, но одному из пользователей удалось при помощи snoopy проанализировать действия злоумышленника, установившего бэкдор и почистившего логи. Для выявления факта взлома своей системы достаточно проверить наличие библиотеки /lib64/libkeyutils.so.1.9, не связанной ни с одним установленным пакетом (для 64-разрядных систем: ls -la /lib64/libkeyutils.so.1.9; rpm -qf /lib64/libkeyutils.so.1.9, для 32-разрядных: ls -la /lib/libkeyutils.so.1.9;rpm -qf /lib/libkeyutils.so.1.9).

http://uinc.ru/news/sn19597.html

Информация уже появилась на сайте разработчиков CloudLinux OS и мини скриптик для быстрой проверки и очистки (если потребуется): http://www.cloudlinux.com/blog/clnews/sshd-exploit.php

Добавлено через 23 часа 33 минуты
по свежим данным, debian тоже подвержен уязвимости.

 

[evolution-game]

на убунте 12.04 вчера патч ядра "38" пришел в репах, грят надо обновится)

 

[emsi]

Пойду быстрее проверять,на CentOS все таки сервер стоит

 

[criminalist]

Под Freebsd ? Имело место ?

 

[TF Studio]

нет, фряха по сообщения в порядке.

Добавлено через 39 минут
по неподтвержденным данным:

Взломан сервер техподдержки cPanel, всем кто обращался в течение последних 6 месяцев с тикетами и предоставлял им реквизиты доступа к своим боксам настоятельно рекомендуется принять соответствующие меры.

Salutations,

You are receiving this email because you have opened a ticket with our support staff in the last 6 months. cPanel, Inc. has discovered that one of the servers we utilize in the technical support department has been compromised. While we do not know if your machine is affected, you should change your root level password if you are not already using ssh keys. If you are using an unprivileged account with "sudo" or "su" for root logins, we recommend you change the account password. Even if you are using ssh keys we still recommend rotating keys on a regular basis.

As we do not know the exact nature of this compromise we are asking for customers to take immediate action on their own servers. cPanel's security team is continuing to investigate the nature of this security issue.

--cPanel Security Team

 

[R2D2]

А причём тут Linux а?

Не, ведь пробивали то сервисы ёптеть cPanel, DirectAdmin, ISP config Plesk а не ядро, и Linux тут вообще не к месту.

 

[TF Studio]

мда...