rootkit «SSHd Spam»

5 réponses

Auteur	Message
Bool \| Modérateur Inscrit le : 09/05/2005	# Le 23/02/2013 à 11:40 Ploum les gens, il semblerait que ce soit la panique chez certains, un grand nombre de serveurs étant infecté par un nouveau rootkit. Pour ma part je n'ai pas trouvé de machine infectée, mais ça a quand même l'air de surtout concerner les Redhat & CentOS. Alors êtes-vous concerné ? Pour le moment, un moyen de l'identifier serait cette recherche, qui ne devrait pas trouver de résultat : find /lib* -name "libkeyutils.so1.9" -or -name "libkeyutils.so1.2" (les autres versions de la lib seraient justifiées) Quel est son impact ? Pour le moment : la machine est exploitée pour envoyer du spam, et c'est tout. Mais potentiellement beaucoup plus, l'attaquant ayant accès à l'intégralité de la machine. Sinon le point «marrant» c'est que pour le moment personne ne sait comment le truc a été propagé, et donc même si vous effacez la librairie, à priori rien ne l'empêchera de revenir. Pour les curieux : - la dépêche sur LinuxFR - une explication (en anglais) - la conversation sur WebHostingTalk (en anglais) daevel : infogérance et conseil \|\| moi
Rogers \| Florent Membre Inscrit le : 20/10/2010	# Le 23/02/2013 à 11:59 Merci pour l'info. Mes 2 serveurs sous Debian ne sont pas impactés C'est quand même un peu flippant ce truc. OPromos et codes remises - MaSolutionPaie -
ddpetit \| Damien Modérateur Inscrit le : 03/05/2006	# Le 23/02/2013 à 13:19 Pas impactés non plus, merci bool Loccasion.com - Vente de voitures d'occasion - Mandataire Auto
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 23/02/2013 à 14:08 A priori, ça ne toucherais que les serveurs installés avec CPANEL. Il semble qu'ils ont avoués avoir une faille critique depuis hier mais sans la dévoiler au public. On est donc en présence d'une faille 0-day. FirstHeberg.com
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 23/02/2013 à 14:10 Rappel : le seul moyen de vous protéger efficacement est de fermer votre serveur avec Iptables et de ne l'ouvrir qu'à votre seule IP. Tous les ports non indispensable doivent être fermés (22, 21, 3306, etc...). Si vous faites du web, bah il ne doit y avoir que le port 80 et 443 d'ouvert. FirstHeberg.com
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 23/02/2013 à 14:30 Mouais, les gars de cPanel, Plesk et Direct Admin, semblant être affectés , j'aurais du mal à dire que ça ne concerne que cPanel. Le problème avec cPanel, c'est plutôt qu'ils se sont effectivement fait hacker , et que ces truffes stockent les accès root de tous leurs clients... Par contre RedHat a confirmé une faille dans leur version d'OpenSSH . daevel : infogérance et conseil \|\| moi

Auteur

Message

Bool |
Modérateur

Inscrit le : 09/05/2005

# Le 23/02/2013 à 11:40

Ploum les gens,

il semblerait que ce soit la panique chez certains, un grand nombre de serveurs étant infecté par un nouveau rootkit.
Pour ma part je n'ai pas trouvé de machine infectée, mais ça a quand même l'air de surtout concerner les Redhat & CentOS.

Alors êtes-vous concerné ? Pour le moment, un moyen de l'identifier serait cette recherche, qui ne devrait pas trouver de résultat :

find /lib* -name "libkeyutils.so*1.9*" -or -name  "libkeyutils.so*1.2*"

(les autres versions de la lib seraient justifiées)

Quel est son impact ? Pour le moment : la machine est exploitée pour envoyer du spam, et c'est tout. Mais potentiellement beaucoup plus, l'attaquant ayant accès à l'intégralité de la machine.

Sinon le point «marrant» c'est que pour le moment personne ne sait comment le truc a été propagé, et donc même si vous effacez la librairie, à priori rien ne l'empêchera de revenir.

Pour les curieux :
- la dépêche sur LinuxFR

- une explication

(en anglais)
- la conversation sur WebHostingTalk

(en anglais)

daevel : infogérance et conseil || moi

Rogers | Florent
Membre

Inscrit le : 20/10/2010

# Le 23/02/2013 à 11:59

Merci pour l'info. Mes 2 serveurs sous Debian ne sont pas impactés

C'est quand même un peu flippant ce truc.

OPromos et codes remises - MaSolutionPaie -

ddpetit | Damien
Modérateur

Inscrit le : 03/05/2006

# Le 23/02/2013 à 13:19

Pas impactés non plus, merci bool

Loccasion.com - Vente de voitures d'occasion - Mandataire Auto

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 23/02/2013 à 14:08

A priori, ça ne toucherais que les serveurs installés avec CPANEL.
Il semble qu'ils ont avoués avoir une faille critique depuis hier mais sans la dévoiler au public. On est donc en présence d'une faille 0-day.

FirstHeberg.com

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 23/02/2013 à 14:10

Rappel : le seul moyen de vous protéger efficacement est de fermer votre serveur avec Iptables et de ne l'ouvrir qu'à votre seule IP. Tous les ports non indispensable doivent être fermés (22, 21, 3306, etc...). Si vous faites du web, bah il ne doit y avoir que le port 80 et 443 d'ouvert.

FirstHeberg.com

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 23/02/2013 à 14:30

Mouais, les gars de cPanel, Plesk et Direct Admin, semblant être affectés , j'aurais du mal à dire que ça ne concerne que cPanel.
Le problème avec cPanel, c'est plutôt qu'ils se sont effectivement fait hacker , et que ces truffes stockent les accès root de tous leurs clients...

Par contre RedHat a confirmé une faille dans leur version d'OpenSSH .

daevel : infogérance et conseil || moi

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.