CVE veri tabanında ben görememiştim bizim ekipten Volkan bey iletmişti bunu.
Cloudlinux için de bu durum mevcut sanırım, en iyisi portları kapatmak dışarı. Bu tip bir güncellemeyle ilgili cpanel zaten muhakkak mail atar güncelleme çıktığında.
Ksplice kullanıyorsan ssh portunu her halukarda kapalı tutarsan bir güncelleme çıkınca zaten kendini otomatik yamayacaktır Cihan
Şimdi olay şu
/lib64/libkeyutils.so.1
bir sembolik link botlarla sunucuları hack eden adam bu sembolik linkin baktığı dosyayı değiştiriyor oda /lib64/libkeyutils-1.2.so bu dosya
/lib64/libkeyutils-1.2.so bu dosyayı /lib64/libkeyutils-1.2.so.2 olarak düzenlemiş bir kaç sunucuda
Bir kaç sunucuda da /lib64/libkeyutils-1.2.so-1
Yani Cloudlinux'un yayınladığı fix aslında bir çözüm değil libkeyutils dosyasının orjinal mi değilmi olduğuna bakmak değilse sembolik linki silmek, sahte libkeyutils dosyasını silmek ve tekrar sembolik link oluşturmak gerekiyor.
Anladığımız kadarıyla hacker bu işlemi yaptıktan sonra siz ssh bağlantısı yaptığınızda root a girerken yazdığınız şifre saldırgana ait sunucuya postalanıyor (root şifreniz başkasının eline geçiyor) siz bunu ama farketmiyorsunuz.
Gönderilen yerin Rusya da bir yer olduğunu söylemişlerdi yabancı forumlarda. Yapılması gereken şey öncelikle hacklenip, hacklenmediğinize bakmak sonrasında hacklendiyseniz bunu düzeltip, ssh portunu kapatıp, root şifrenizi değiştirmek olacaktır.
Bu yukarda yazdığım sıralamayı doğru yapmayı unutmayın
