В Сети зафиксирован массовый взлом серверов на базе Linux

[alexxcompany]

В Сети зафиксирован массовый взлом серверов на базе Linux  http://www.opennet.ru/opennews/art.shtml?num=36155

[asy]

В Сети зафиксирован массовый взлом серверов на базе Linux  http://www.opennet.ru/opennews/art.shtml?num=36155

В основном, на сколько вижу, упоминают панели для веб-администрирования. С другой стороны, они, вроде бы, не должны от рута работать, а пишут про попадание библиотеки в /lib или /lib64, что показывает на эскалацию привилегий. Это, уже, не здорово...

[ksa]

Похоже, адекват пошёл отсюда... Ну, и на данный момент таки не пойман.
UPD Нашёлся, похоже...

[ksa]

Если информация по приведённому коду эксплоита достоверна, то нужно обновлять openssh на 5 платформе тем, у кого он открыт в Сеть. А лучше, по возможности, обновиться до 6 платформы.
Ссылка на топик форума, где столкнулись с проблемой (eng) тут.

[ksa]

массовый взлом серверов

Не такой уж и массовый, как оказывается. Но вот таким необдуманным распространением информации создаётся образ массового взлома. Так рождаются слухи и домыслы.

[Speccyfighter]

В результате атаки в системе неизвестным образом появляется файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем /lib/libkeyutils.so.1.9).

Вот про это поподробнее, каким образом привилегии суперпользователя оказались в руках крекера?
Плохому танцору...

[yaleks]

Вот про это поподробнее, каким образом привилегии суперпользователя оказались в руках крекера?
Плохому танцору...

Выше уже объяснили - ломаем виндусовый комп ставим на него всякие полезные штуки. За этим компом работает недоадмин - перехватываем настройки putty, копируем ssh-ключ и пароли. Логинимся на линуксовую машину и profit ;)
ах да.. попутно делаем rm -rf у других ламеров, которые хотят потестить "как ломают ssh"  :P

[Speccyfighter]

Вот про это поподробнее, каким образом привилегии суперпользователя оказались в руках крекера?
Плохому танцору...

Выше уже объяснили - ломаем виндусовый комп ставим на него всякие полезные штуки. За этим компом работает недоадмин - перехватываем настройки putty, копируем ssh-ключ и пароли. Логинимся на линуксовую машину и profit ;)
ах да.. попутно делаем rm -rf у других ламеров, которые хотят потестить "как ломают ssh"  :P

Вопрос в одном:
Где в виндусовом компе найти
/lib64/libkeyutils.so.1.9
/lib/libkeyutils.so.1.9

На многих взломанных системах используются панели управления cPanel, DirectAdmin и Plesk,

http://ru.wikipedia.org/wiki/Parallels_Plesk_Panel
Plesk (Parallels Plesk Panel, Parallels Plesk Control Panel)  — коммерческий программный пакет для автоматизации веб-хостинга.
Лицензия: Проприетарная

http://ru.wikipedia.org/wiki/DirectAdmin
Лицензия    
Собственническое ПО
http://ru.wikipedia.org/wiki/CPanel
Лицензия    
Коммерческая

К opennet-news-постеру:
Русским же языком просят:
не использовать коммерческое закрытое ПО!
Тем более системного назначения!
Ну ёшкин же ж кот!

[yaleks]

Вопрос в одном:
Где в виндусовом компе найти
/lib64/libkeyutils.so.1.9
/lib/libkeyutils.so.1.9

а зачем они там? Оттуда только данные для получения доступа нужны (ломают только винду, на linux с парадного входа штатно заходят). Конечно может что в этих панелях найдут...

[Speccyfighter]

Вопрос в одном:
Где в виндусовом компе найти
/lib64/libkeyutils.so.1.9
/lib/libkeyutils.so.1.9

а зачем они там? Оттуда только данные для получения доступа нужны (ломают только винду, на linux с парадного входа штатно заходят). Конечно может что в этих панелях найдут...

Не только. Нет там винды.
DirectAdmin и cPanel под виндовс не существует в природе.
http://www.directadmin.com/install.html
http://cpanel.net/system-administrators/

серверы на базе CentOS

cPanel, DirectAdmin и Plesk, пока не ясно могут ли они быть источником проникновения.

Проблему верно указали тут:
http://www.opennet.ru/openforum/vsluhforumID3/88727.html#19

пока не ясно могут ли они быть источником проникновения.

При закрытых исходниках и не обнаруженных уязвимостях, бэкдорах и эксплоитах это всегда будет "не ясно".

Но заталкивать на *nix-сервера закрытые коммерческие тулзы это ж так здОрово!

[ksa]

Но заталкивать на *nix-сервера закрытые коммерческие тулзы это ж так здОрово!

И при возникновении проблем свалить всё на gnu/linux. Достаточно распространённое поведение, причём касаемо не только хостинга.

[Speccyfighter]

Ещё вот что-то бегло по-мелочам посмотрел по теме.

И при возникновении проблем свалить всё на gnu/linux. Достаточно распространённое поведение, причём касаемо не только хостинга.

Угумс...
И как кто-то говаривал тут на форуме, запасаемся попкорном:

There is one red flag that my friend mentioned - he recently (about 10 days ago) used a third party contractor to perform some work as root. This contractor had the login details to the machine that is affected. This may be a red herring but that always concerns me, expecially as some have posted in this thread asking if a third party contractor has recently worked on infected machines.

Does anyone know what this is, I did a ls randomly as the root user and found something called ipadd.sh, I've never seen it before

As steven said... There are a *lot* of people using RedHat/CentOS/Cloud Linux/ etc for hosting, cPanel, etc.

Also these OS'es, by default, allow you to ssh in as root, vs some of the other operating systems disable root login. I suspect not as many people change this as a security expert would think.

The servers were also accessed on 3 different systems over the network. On one of these systems we detected a rootkit installed about 3 to 4 days ago which was removed.

I was searching till now for some evidence why this happened till 2 days ago. Since the start I was using SSH keys login to my VPS and not password. The day my server has this root access, it was the day I send the root password to cPanel helpdesk to help me out with a server problem. I am not sure if it has anything to do with it(changed afterwards and disabled password login).

Two days ago, I removed libkeyutils.so.1.9 (I have a backup of it) and it seems (??) that the server is not re-compromised. At least no new file was created.

it's probably "just" sniffed SSH passwords (I always wonder how many guys allow root login with plaintext passwords...

I've checked my other machine runing CentOS 6.3 (only Webmin and CS:GO server installed) and the system is not infected.
On the other hand, first machine running CentOS 5.9 and cPanel/WHM (with 100+ web sites) is constantly getting infected.
Both machines are "updated" from same centos repo in Croatia (Plus hosting).

Ну вы поняли, чё сказать-то хотел...
Ни один самый защищённый линукс не поможет если ....

И как сказал один пользователь виндовс: треть любого крекинга состоит из социальной инженерии.
Так что, соблюдайте правила гигиены.

[YYY]

дак чем все в итоге закончилось?
Нашли точный алгоритм заражения? putty.exe?

[Skull]

Заражаются только RHEL-based через уязвимость кривой сборки.

[YYY]

Заражаются только RHEL-based через уязвимость кривой сборки.

А какой пакет?