Sshd Exploit?

Bununla alakalı bir gelişme var mı? SSH portunu açmakla alakalı bir açık?

Merhaba,

En son cuma günü incelemiştim konuyu ve bir gelişme yoktu. Durumu kısaca özetlersek sshd exploit adı altında geçen bir durum değil. Henüz kaynağı bilinemeyen bir açık nedeni ile rootlanan sunucular olmuş. 3 olasılık üzerinde duruluyor. Biri daha önce ortaya çıkan ama henüz patch yayınlanmamış bir kernel bug (benim favorim bu yönde). İkinci olasılığın exim olduğu şüphesi var (plesk kontrol paneli kullanan sunucularda da durum yaşandığı için düşük ihtimal). Sonuncu olarak da sshd bug olduğu söyleniyor. Bu olasılıklardan biri kullanılarak sunucu rootlanıyor ve özellikle ssh ve remote erişim özelliği olan (in/out) yazılımların vazgeçilmezi keyutils shared lib değiştirilerek o rootlanan sunucuya sürekli erişim sağlanıyor. Yani kısaca özetlersek, herkesin dilindeki bu dosya aslında hacklenmiş sunucuyu sürekli dışarıdan erişim için ayarlanan bir exploit sadece. Yani hack olayının nedeni değil, sadece sonucu.

libkeyutils İsmine takılmayın.

Biz bir kaç müşterimizde tespit ettik farklı isimlerde de olabiliyor

Ne olur ne olmaz SSH portlarınız hep dış dünyaya kapalı sadece kendi IP adresinize açık olsun

Redhat konu ile ilgili güncelleme çıkartmış ancak ne yazık ki bu daha Centos'a gelmedi

CVE iletir misin?

Cloudlinux için de bu durum mevcut sanırım, en iyisi portları kapatmak dışarı. Bu tip bir güncellemeyle ilgili cpanel zaten muhakkak mail atar güncelleme çıktığında.

CVE veri tabanında ben görememiştim bizim ekipten Volkan bey iletmişti bunu.

Ksplice kullanıyorsan ssh portunu her halukarda kapalı tutarsan bir güncelleme çıkınca zaten kendini otomatik yamayacaktır Cihan

Şimdi olay şu

/lib64/libkeyutils.so.1

bir sembolik link botlarla sunucuları hack eden adam bu sembolik linkin baktığı dosyayı değiştiriyor oda /lib64/libkeyutils-1.2.so bu dosya

/lib64/libkeyutils-1.2.so bu dosyayı /lib64/libkeyutils-1.2.so.2 olarak düzenlemiş bir kaç sunucuda

Bir kaç sunucuda da /lib64/libkeyutils-1.2.so-1

Yani Cloudlinux'un yayınladığı fix aslında bir çözüm değil libkeyutils dosyasının orjinal mi değilmi olduğuna bakmak değilse sembolik linki silmek, sahte libkeyutils dosyasını silmek ve tekrar sembolik link oluşturmak gerekiyor.

Anladığımız kadarıyla hacker bu işlemi yaptıktan sonra siz ssh bağlantısı yaptığınızda root a girerken yazdığınız şifre saldırgana ait sunucuya postalanıyor (root şifreniz başkasının eline geçiyor) siz bunu ama farketmiyorsunuz.

Gönderilen yerin Rusya da bir yer olduğunu söylemişlerdi yabancı forumlarda. Yapılması gereken şey öncelikle hacklenip, hacklenmediğinize bakmak sonrasında hacklendiyseniz bunu düzeltip, ssh portunu kapatıp, root şifrenizi değiştirmek olacaktır.

Bu yukarda yazdığım sıralamayı doğru yapmayı unutmayın

Emin değilim ama durum aydınlanmış olabilir. Plesk'i açıklamıyor tabi ama cpanel destek ekibi sunucularından birinin hacklendiğini farketmiş mail attılar. Son 6 ayda ticket açıp sunucu şifreleri verenler şifrelerini değiştirsinler.

Hatta sunucuların kontrrolü için şu linki yollamışlar:
http://docs.cpanel.net/twiki/bin/vie...ion/CompSystem

cPanel'in yayınladığı döküman konu ile ilgili gördüğüm en doğru dokuman olmuş. Biz dosya md5'i ile RPM paketleri arasında yer alıp almadığına bakıyorduk libkeyutils'in

Bu açığı ciddiye alın biz belkide 20'den fazla böyle patlamış sunucu gördük. Sunuculara girmemişler ama muhtemelen daha sonra girmek için şifreleri bir yerde saklıyorlar.

Şöyle bir beyin fırtınası yapasım geldi, güvenilir mirrorlardan indirdiğim centos 6.3 64 bit sunucularda cpanel, cloudlinux ve bazı linux forumlarında verilen tespit yöntemlerini denememe rağmen aynı mirroru kullandığım tüm sunucular temiz çıktı.

Beyin fırtınasının başladığı yer ise acaba bazı mirrorlar ele geçirilip modifiye edilmiş zararlı isolar ile mi değiştirildi?

Saçma bir düşünce belki ama olmaz diye birşey yok tabi