Sshd Exploit?

Merhaba
Netinternet facebook sayfasında gördüm. WHT ve Cloudlinux sayfasındada yayınlanmış. Çözümü varmı bunun?

Linkler
http://www.cloudlinux.com/blog/clnews/sshd-exploit.php
http://www.webhostingtalk.com/showthread.php?t=1235797
http://forums.cpanel.net/f185/sshd-r...323962-p2.html

Portlarını değiştirmek + firewallar yararlı olabilir .

Saygılarımla
İLKDATA

Merhaba
Cevabınız için teşekkür ederim. Portların taranarak kolayca bulabileceği söylenmiş bencede bruteforce tarzı birşeyle taranırsa bulunur. Firewall hakkıdan detaylı bilgim olmadığı için sshd servisini durdurdum ben yinede. kvm üzerinden bağlanıyorum geçici olarak.

Farklı bir port vermek ve ssh portuna sadece kendi ip adresiniz için erişim vermek yeterli olacaktır.

Şu ufak bash script işinizi görür.

Şu komutlarla bash dosyanızı oluşturun.

cd /usr/bin

nano sshban

chmod 1777 sshban

İçine aşağıdaki komutları ekleyin.

İpadresiniz ve port kısımları mevcut duruma göre değiştirilmelidir.

Komut satırına sshban yazdığınızda kendi ip adresiniz dışındaki başka bir ip adresi ssh portunuza erişemez.

İp adresi kısmını ip bloğu şeklindede ayarlayabilirsiniz.

1.1.1.0/24 yazdığınızda 1.1.1.0-1.1.1.255 bloğuna
1.1.0.0/16 yazdığınızda 1.1.0.0-1.1.255.255 bloğuna izin vermiş olursunuz.

Kuralı bozmak için sunucuyu yeniden başlatmanız yada kvm ile iptables -F yapmanız gerekmekte. Ssh ile pek işiniz yoksa cpanelde service manager kısmından ssh servisini kapatabilir diğer panellerde
iptables -A INPUT -p tcp --dport 22 -j REJECT komutuyla porta tüm erişimleri kapatabilirsiniz.

heryerde bişeyler yazmışlar sanırm rhel tabanlı sunucularda mevcut

Teşekkür ederim cevabınız için üstad. Fakat ip adresim static değil En kesin çözüm şuanlık sshd servisini durdurmak gibi gözüküyor. Panel kullanmadığım için mecbur kvmden baglanacam

Aslında sh dosyalarına baktım heryerde libkeyutils işlem uygulanıyor. Sorun bu dosyada sanırım.

4. RECOMMENDATIONS

We suggest you take one of the following actions immediately, in order of
preference:

A - Upgrade to curl and libcurl 7.29.0

B - Apply this patch and rebuild libcurl

http://curl.haxx.se/curl-sasl.patch

C - Rebuild curl with support for vulnerable protocols IMAP, POP3 and SMTP
disabled.

D - Disable the vulnerable protocols IMAP, POP3 and SMTP at run-time to
forbid libcurl from using them. You can do this with the
CURLOPT_PROTOCOLS option.


----
Action required:
------------------------------
Our managed cPanel customers need not do anything unless contacted directly
by us. Self managed customers will need to do the following to detect the
file in question and correct the exploit:

1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'

Please follow the steps below to clear the expliot.

1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1 libkeyutils.so.1.3
6. Restart ssh
7. yum update kernel and Reboot to close any active connections

Feel free to open a trouble ticket if you have any questions.

panel kullanmayanlar webmin yükleyip webmin üzerinden ssh kapat aç yapabilir.
lazım olduğunda ssh açıp bağlantıyı sağlar ve tekrar ssh kapatabilirler.

bağlı iken ssh kapatınca başkası giremiyor ama siz hala içerde kalabiliyorsunuz.

64 bit makinesi olanlar
rm -rf /lib64/libkeyutils.so.1.9

32 bit makine kullananlar
rm -rf /lib/libkeyutils.so.1.9

ardından sunucuyu restart edin.

(ssh bağlantısı için key oluşturup kullanan arkadaşlar bu işlem ardından sıkıntı yaşayabilir, o ney diyen varsa sıkıntı yok dosyayı gönül rahatlığı ile silebilirler.)

rhel tabanlı linuxlar için aşağıdaki komutları uygulayabilirsiniz.

wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh |/bin/bash
wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash