Şöyle bir beyin fırtınası yapasım geldi, güvenilir mirrorlardan indirdiğim centos 6.3 64 bit sunucularda cpanel, cloudlinux ve bazı linux forumlarında verilen tespit yöntemlerini denememe rağmen aynı mirroru kullandığım tüm sunucular temiz çıktı.
Beyin fırtınasının başladığı yer ise acaba bazı mirrorlar ele geçirilip modifiye edilmiş zararlı isolar ile mi değiştirildi?
Saçma bir düşünce belki ama olmaz diye birşey yok tabi
Yok mirror'ler RSYNC ile senkron ediyor kendini orjinal CentOS mirror ile. Orjinalini patlatmaları durumunda böyle bir sorun ortaya çıkar. Ancak mirror sahibi bunu yapabilir mi o kadar dangalak mı onu bilmiyorum. Sonuçta bunun ortaya çıkması daha basit olurdu.
Kesinlikle en başından bu yana ciddiye alınması gereken bir durum. Bu nedenle her gün bir süre inceliyorum. öncelikle halen açığın ne olduğu tam kesinleşmiş bir durum değil gördüğüm kadarı ile. En son redhat kernel ve openssh update'leri ile çözüldüğünü de zannetmiyorum, çünkü kernel bir nevi fedora için (kernel > v3.0), openssh ise gördüğüm bir kaç bug, buffer overflow ve dos için çıkarılmışa benziyor. Openssh güncellemesi > v5.x redhat ent ve türevi (centos, cloud, oracle vs) 6.x versiyonlarını kapsıyor tabi debian ubuntu vs de buna dahil.
http://packages.debian.org/changelog...eze3/changelog http://www.openwall.com/lists/oss-security/2013/02/06/5
Ama forumlarda gördüğüm kadarı ile bu hack durumunu yaşayan herhangi bir debian versiyonu göremedim. Ayrıca, centos 5 kullanan sunucularda da yaşandığını söylüyorlar. Bu nedenle hala açığın asıl nedeninin bulunamadığını düşünüyorum. İncelediğim sunucuların hiçbirinde anormal bir durum göremedim buna benzer, bu yüzden detaylı bir inceleme yapamadım.
Centos 6.2 de ben bir kaç tane buldum. CentOS 5 i bağlamıyor konu. İşin garibi bir müşteriye çok değil 2 hafta önce kurduğumuz makineden çıktı sorun. CentOS'un 2 hafta cPanel ile kurulmuş hali yani teknik arkadaşların hangi CD ile kurdukları farketmez cPanel kurulunca kernel güncelleniyor. CentOS dışında ben bu sorunu yaşayana rastlamadım ama benim raslamamış olmam sunucuların büyük çoğunluğunun CentOS olmasından dolayıdır muhtemelen.
Yıllar önce kapatıldığını düşündüğümüz ptrace race condition
(CVE-2013-0871) security bug'a bağlı olduğuna dair söylentiler vardı. Ama
@foo'nun dediği gibi, bu sadece bir varsayım ve bence de bununla alakalı değil.
Asıl dikkat edilmesi gereken nokta; cPanel'in login bilgilerinin tutulduğu proxy sunucularından birinin hacklenmesi ve buna bağlı olarak cPanel müşterilerine ait tüm root credentials bilgilerinin saldırganın eline geçmiş olabileceği. Saldırgan backdoor libkeyutils'i bilgilerini elde ettiği sunuculara yükleyerek rahatlıklıkla sniff edebileceği ve bu bilgileri kayıt altında tutabileceği...
webhostingtalk üzerinde plesk ve diğer panellerde de böyle bir problem olduğunu söyleyen yazıların olduğunu söyleyebilirsiniz. Bu arkadaşların da cPanel kullandıkları sunucular üzerinden ssh client kullanarak diğer kontrol panellerine sahip sunuculara bağlanmadığını nerden bilebilirsiniz? Sonuçta ssh clientta libkeyutils kullanıyor, aynı şekilde o bilgilerinde saldırgan tarafından kayıt altına alınabileceği aşikar. Burda problem cPanel'dedir demiyorum, sadece bu problemi tetikleyen vektörün bu olabileceğini ve ihtimaller dahilinde bunun da değerlendirilmesi gerektiğini söyleyebilirim.
Benim bildiğim kadarıyla cPanel’in destek masasında kullandığı yazılım hack edilmiş. libkeyutils’in değiştirildiği sunucuların tamamında istisnasız cPanel kuruluydu ama bu yine bir üst mesajımda yazdığım gibi bir durum. Zaten kontrol paneli olan neredeyse tüm sunucular cPanel
Ve bende ilk bunu düşünmüştüm, yukarıdaki mesajımda yazdığım gibi Centos 6 kullanan bir 2 haftalık kullanıcıda bu libkeyutils dosyasının değiştiğini görünce bu ihtimali es geçtim. Çünkü bu sunucu ile ilgili hiç cPanel’e destek bildirimi göndermemiştik.
Ama hala emin de değilim.