Vulnérabilité SSHD : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(Présentation)
 
(Une révision intermédiaire par un utilisateur est masquée)
Ligne 1 : Ligne 1 :
=Présentation=
+
[[Catégorie:Sécurité]]
[[cPanel]] et [[Plesk]] informent leurs clients respectifs, courant février 2013, d'une faille possible sur les systèmes autorisant SSHD, dont les effets pourraient être assez problématiques à savoir :
+
'''[[Lien court]]''' vers cette page : http://vt.cx/VSSHD
* Mots de passe et clés SSH et /etc/shadow révélés
+
'''[[QR code]]''' vers cette page : http://vt.cx/VSSHD.qr
* Backdoor donnant accès au serveur
+
<html>
* Serveur détourné pour envoyer des spams
+
<script type="text/javascript"><!--
Il s'agirait d'un fichier rootkit /lib64/libkeyutils.so.1.9 (système 64bit) ou /lib/libkeyutils.so.1.9 (système 32bit) qui modifierait /lib64/libkeyutils.so.1 pour pointer sur sa librairie.
+
google_ad_client = "ca-pub-3341840374417340";
 +
/* VT2 */
 +
google_ad_slot = "6349432125";
 +
google_ad_width = 468;
 +
google_ad_height = 60;
 +
//-->
 +
</script>
 +
<script type="text/javascript"
 +
src="//pagead2.googlesyndication.com/pagead/show_ads.js">
 +
</script>
 +
</html>
 +
<br/>
 +
 
 +
= Présentation =
 +
[[cPanel]] et [[Plesk]] informent leurs clients respectifs, courant '''février 2013''', d'une faille possible sur les systèmes autorisant '''[[SSHD]]''', dont les effets pourraient être assez problématiques à savoir :
 +
* '''[[Mots de passe]]''' et clés '''[[SSH]]''' et '''/etc/shadow''' révélés
 +
* '''Backdoor''' donnant accès au '''[[serveur]]'''
 +
* '''[[Serveur]]''' détourné pour envoyer des '''[[spams]]'''
 +
Il s'agirait d'un fichier '''rootkit /lib64/libkeyutils.so.1.9''' (système '''64bit''') ou '''/lib/libkeyutils.so.1.9''' (système '''32bit''') qui modifierait '''/lib64/libkeyutils.so.1''' pour pointer sur sa librairie.
 
<br/><br/>
 
<br/><br/>
 
La procédure consiste en un premier temps de tenter de détecter la présence du [[Lexique|''rootkit'']] et, dans un second, de supprimer les redirections qui posent problème.
 
La procédure consiste en un premier temps de tenter de détecter la présence du [[Lexique|''rootkit'']] et, dans un second, de supprimer les redirections qui posent problème.
  
=Procédure=
+
= Procédure =
La recherche du rootkit peut se faire par :
+
La recherche du '''rootkit''' peut se faire par :
 
  #  find / -name libkeyutils.so.1.9 -print
 
  #  find / -name libkeyutils.so.1.9 -print
 
ou par :
 
ou par :
Ligne 18 : Ligne 36 :
 
Un script permet de remettre les liens détournés à leur état original :
 
Un script permet de remettre les liens détournés à leur état original :
 
  # wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash
 
  # wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash
=Liens utiles=
+
= Liens utiles =
*[http://kb.parallels.com/en/115589  Alerte de sécurité 115589 du 22 février 2013 de Plesk]
+
* [http://kb.parallels.com/en/115589  Alerte de sécurité 115589 du 22 février 2013 de Plesk]
*[http://forums.cpanel.net/f185/sshd-rootkit-323962.html Thread forum cPanel]
+
* [http://forums.cpanel.net/f185/sshd-rootkit-323962.html Thread forum cPanel]
*[http://www.webhostingtalk.com/showthread.php?t=1235797 Thread forum Webtalking]
+
* [http://www.webhostingtalk.com/showthread.php?t=1235797 Thread forum Web Hosting Talk (WHT)]
 +
 
 +
= Commentaires =
 +
{{#widget:DISQUS
 +
|id=vulgumtechus
 +
}}

Version actuelle en date du 10 janvier 2016 à 17:29

Lien court vers cette page : http://vt.cx/VSSHD
QR code vers cette page : http://vt.cx/VSSHD.qr


Présentation

cPanel et Plesk informent leurs clients respectifs, courant février 2013, d'une faille possible sur les systèmes autorisant SSHD, dont les effets pourraient être assez problématiques à savoir :

Il s'agirait d'un fichier rootkit /lib64/libkeyutils.so.1.9 (système 64bit) ou /lib/libkeyutils.so.1.9 (système 32bit) qui modifierait /lib64/libkeyutils.so.1 pour pointer sur sa librairie.

La procédure consiste en un premier temps de tenter de détecter la présence du rootkit et, dans un second, de supprimer les redirections qui posent problème.

Procédure

La recherche du rootkit peut se faire par :

#  find / -name libkeyutils.so.1.9 -print

ou par :

# updatedb
# locate libkeyutils.so.1.9 

mais aussi par un procédure déportée accessible par :

# wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh |/bin/bash

Un script permet de remettre les liens détournés à leur état original :

# wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash

Liens utiles

Commentaires

blog comments powered by Disqus