Vulnérabilité SSHD : Différence entre versions
De Vulgum Techus
(Page créée avec « =Présentation= cPanel et Plesk informent leurs clients respectifs, courant février 2013, d'une faille possible sur les systèmes autorisant SSHD, dont les effets... ») |
|||
| Ligne 8 : | Ligne 8 : | ||
Une procédure simple permet de tester si le serveur est contaminé et une autre de supprimer les redirections qui posent problème. | Une procédure simple permet de tester si le serveur est contaminé et une autre de supprimer les redirections qui posent problème. | ||
=Procédure= | =Procédure= | ||
| − | + | La recherche du rootkit peut se faire par : | |
| + | # find / -name libkeyutils.so.1.9 -print | ||
| + | ou par : | ||
| + | # updatedb | ||
| + | # locate libkeyutils.so.1.9 | ||
| + | mais aussi par un procédure déportée accessible par : | ||
# wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh |/bin/bash | # wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh |/bin/bash | ||
| − | |||
Un script permet de remettre les liens détournés à leur état original : | Un script permet de remettre les liens détournés à leur état original : | ||
# wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash | # wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash | ||
| + | =Liens utiles= | ||
| + | *[http://kb.parallels.com/en/115589 Alerte de sécurité 115589 du 22 février 2013 de Plesk] | ||
| + | *[http://forums.cpanel.net/f185/sshd-rootkit-323962.html Thread forum cPanel] | ||
| + | *[http://www.webhostingtalk.com/showthread.php?t=1235797 Thread forum Webtalking] | ||
Version du 23 février 2013 à 12:24
Présentation
cPanel et Plesk informent leurs clients respectifs, courant février 2013, d'une faille possible sur les systèmes autorisant SSHD, dont les effets pourraient être assez problématiques à savoir :
- Mots de passe et clés SSH et /etc/shadow révélés
- Backdoor donnant accès au serveur
- Serveur détourné pour envoyer des spams
Il s'agirait d'un fichier rootkit /lib64/libkeyutils.so.1.9 (système 64bit) ou /lib/libkeyutils.so.1.9 (système 32bit) qui modifierait /lib64/libkeyutils.so.1 pour pointer sur sa librairie.
Une procédure simple permet de tester si le serveur est contaminé et une autre de supprimer les redirections qui posent problème.
Procédure
La recherche du rootkit peut se faire par :
# find / -name libkeyutils.so.1.9 -print
ou par :
# updatedb # locate libkeyutils.so.1.9
mais aussi par un procédure déportée accessible par :
# wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh |/bin/bash
Un script permet de remettre les liens détournés à leur état original :
# wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash
