SSHD rootkit libkeyutils.so.1.9 Всем привет,
Слежу за развитием событий (треду почти неделя):
http://www.webhostingtalk.com/showthread.php?t=1235797Вкратце:
- в систему неизвестным образом попадает /lib64/libkeyutils.so.1.9 (/lib/libkeyutils.so.1.9 на 32б)
- sshd при этом начинает устанавливать подозрительные TCP соединения;
- при входе на сервер по ssh по паролю отсылает по UDP логин и пароль на сервер 72.156.139.154.53
- рассылает спам
- возможно делает что-то еще
взломаны системы - все возможные варианты RedHat дистрибутивов с последними обновлениями и ksplice
cPanel, DirectAdmin, Plesk
Выстреливший CVE-2013-0871 маловероятный вектор атаки, знающие люди утверждают что race condition достигнуть чрезвычайно маловероятно и требует немало усилий, кроме всего прочего есть случаи взлома CloudLinux с включенным CageFS
А у тебя в системе уже есть /lib64/libkeyutils.so.1.9 ???