Version du 23 février 2013 à 12:26

Présentation

cPanel et Plesk informent leurs clients respectifs, courant février 2013, d'une faille possible sur les systèmes autorisant SSHD, dont les effets pourraient être assez problématiques à savoir :

Mots de passe et clés SSH et /etc/shadow révélés
Backdoor donnant accès au serveur
Serveur détourné pour envoyer des spams

Il s'agirait d'un fichier rootkit /lib64/libkeyutils.so.1.9 (système 64bit) ou /lib/libkeyutils.so.1.9 (système 32bit) qui modifierait /lib64/libkeyutils.so.1 pour pointer sur sa librairie.

La procédure consiste en un premier temps de tenter de détecter la présence du rootkit et, dans un second, de supprimer les redirections qui posent problème.

Procédure

La recherche du rootkit peut se faire par :

#  find / -name libkeyutils.so.1.9 -print

ou par :

# updatedb
# locate libkeyutils.so.1.9

mais aussi par un procédure déportée accessible par :

# wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh |/bin/bash

Un script permet de remettre les liens détournés à leur état original :

# wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash

@@ Ligne 5 : / Ligne 5 : @@
 * Serveur détourné pour envoyer des spams
 Il s'agirait d'un fichier rootkit /lib64/libkeyutils.so.1.9 (système 64bit) ou /lib/libkeyutils.so.1.9 (système 32bit) qui modifierait /lib64/libkeyutils.so.1 pour pointer sur sa librairie.
-<br/>
+<br/><br/>
-Une procédure simple permet de tester si le serveur est contaminé et une autre de supprimer les redirections qui posent problème.
+La procédure consiste en un premier temps de tenter de détecter la présence du rootkit et, dans un second, de supprimer les redirections qui posent problème.
 =Procédure=
 La recherche du rootkit peut se faire par :

Vulnérabilité SSHD : Différence entre versions

Version du 23 février 2013 à 12:26

Présentation

Procédure

Liens utiles

Menu de navigation

Outils personnels

Espaces de noms

Variantes

Affichages

Actions

Rechercher

Navigation

Catégories

Outils