Vulnérabilité SSHD

De Vulgum Techus
Version du 23 février 2013 à 12:16 par Admin2 (discuter | contributions)

(diff) ← Version précédente | Voir la version courante (diff) | Version suivante → (diff)
Aller à : Navigation, rechercher

Présentation

cPanel et Plesk informent leurs clients respectifs, courant février 2013, d'une faille possible sur les systèmes autorisant SSHD, dont les effets pourraient être assez problématiques à savoir :

  • Mots de passe et clés SSH et /etc/shadow révélés
  • Backdoor donnant accès au serveur
  • Serveur détourné pour envoyer des spams

Il s'agirait d'un fichier rootkit /lib64/libkeyutils.so.1.9 (système 64bit) ou /lib/libkeyutils.so.1.9 (système 32bit) qui modifierait /lib64/libkeyutils.so.1 pour pointer sur sa librairie.
Une procédure simple permet de tester si le serveur est contaminé et une autre de supprimer les redirections qui posent problème.

Procédure

Tester si le serveur est infecté ou non par : 

# wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh |/bin/bash

Un script permet de remettre les liens détournés à leur état original : 

# wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash
Récupérée de « https://www.vulgumtechus.com/index.php?title=Vulnérabilité_SSHD&oldid=2303 »