|
|
Пишет Русскоязычное Linux-сообщество (![[info]](http://lj.rossia.org/img/syndicated.gif){kind=small} lj_ru_linux)@ 2013-02-18 12:53:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
SSHD rootkit libkeyutils.so.1.9
Всем привет,
Слежу за развитием событий (треду почти неделя):
http://www.webhostingtalk.com/showthread.p
Вкратце:
cPanel, DirectAdmin, Plesk
Выстреливший CVE-2013-0871 маловероятный вектор атаки, знающие люди утверждают что race condition достигнуть чрезвычайно маловероятно и требует немало усилий, кроме всего прочего есть случаи взлома CloudLinux с включенным CageFS
А у тебя в системе уже есть /lib64/libkeyutils.so.1.9 ???
Всем привет,
Слежу за развитием событий (треду почти неделя):
http://www.webhostingtalk.com/showthread.p
Вкратце:
- в систему неизвестным образом попадает /lib64/libkeyutils.so.1.9 (/lib/libkeyutils.so.1.9 на 32б)
- sshd при этом начинает устанавливать подозрительные TCP соединения;
- при входе на сервер по ssh по паролю отсылает по UDP логин и пароль на сервер 72.156.139.154.53
- рассылает спам
- возможно делает что-то еще
cPanel, DirectAdmin, Plesk
Выстреливший CVE-2013-0871 маловероятный вектор атаки, знающие люди утверждают что race condition достигнуть чрезвычайно маловероятно и требует немало усилий, кроме всего прочего есть случаи взлома CloudLinux с включенным CageFS
А у тебя в системе уже есть /lib64/libkeyutils.so.1.9 ???
