Skoči na vsebino

SI-CERT 2013-03 / Linux SSHD Rootkit

Opis

Linux strežniki z RPM sistemom upravljanja programskih paketov so tarča rootkita v obliki podtaknjene kljižnice libkeyutils, ki jo uporablja sshd. Preko podtaknjene knjižnice se izvaja kraja gesel uporabnikov, ki se na sistem prijavljajo preko SSH protokola.

Ranljivi sistemi

Do sedaj je znano, da so ranljive Linux distribucije, ki za upravljanje s programskimi paketi uporabljajo sistem RPM. Najbolj razširjene take distribucije so: RedHat, CentOS in Fedora.

Metoda napada

Zaenkrat natančna metoda napada še ni znana. Najbolj verjetno je, da gre za vdor z znanim root geslom. Druga možnost je zloraba preko ranljive različice cPanel upravljalskega vmesnika.

Odkrivanje zlorabe

Izvedite ukaz:

find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'

Če rezultat ukaza ni prazen, je strežnik zlorabljen. Dodatno lahko preverite integriteto nameščenega paketa:

$ rpm -Vv keyutils-libs
......... /lib64/libkeyutils.so.1
......... /lib64/libkeyutils.so.1.3
......... /usr/share/doc/keyutils-libs-1.4
......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL

V levem delu morate videti le pike, sicer je lahko knjižnica podtaknjena.

Ukrepi

Če ste po zgornjem postopku ugotovili, da je vaš strežnik zlorabljen, potem opravite naslednje korake:

  1. Obvestite vse uporabnike sistema, da je njihovo geslo ukradeno.
  2. Ponovno namestite paket keyutils-libs in ponovno zaženite sshd (ali opravite reboot).
  3. Poskusite ugotoviti, kako je do podtikanja knjižnice prišlo in ugotovitve sporočite na naslov cert@cert.si.
  4. Poskrbite, da bodo vsi uporabniki zamenjali gesla za dostop do strežnika.
  5. Če uporabljate cPanel vmesnik, poskrbite za njegovo nadgradnjo.

Povezave

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več