Autor Subiect: Chestii urate de la case mari  (Citit de 2614 ori)

Ed

  • Membru
  • ***
  • Mesaje postate: 338
  • Karma: +9/-3
  • www.megahost.ro
    • Vezi Profilul
    • Megahost
Chestii urate de la case mari
« : Februarie 22, 2013, 11:37:56 am »
Destul de urat: un email primit azi-dimineata de la cPanel.net:

Citat
Salutations,

You are receiving this email because you have opened a ticket with our support staff in the last 6 months. cPanel, Inc. has discovered that one of the servers we utilize in the technical support department has been compromised. While we do not know if your machine is affected, you should change your root level password if you are not already using ssh keys. If you are using an unprivileged account with "sudo" or "su" for root logins, we recommend you change the account password. Even if you are using ssh keys we still recommend rotating keys on a regular basis.

As we do not know the exact nature of this compromise we are asking for customers to take immediate action on their own servers. cPanel's security team is continuing to investigate the nature of this security issue.

--cPanel Security Team

demil

  • Oaspete
  • **
  • Mesaje postate: 92
  • Karma: +2/-0
    • Vezi Profilul
Re: Chestii urate de la case mari
« Răspuns #1 : Februarie 22, 2013, 03:12:53 pm »
Da, asta la pachet cu libkey-ul cu backdoor care apare de la RBN pe o gramada de servere (dintre care unele nu au legatura cu cPanel)... interesanta amploarea oricum. Se pare ca cei de la RBN au deja o mica armata de hackeri care fac prapad cu orice bug care apare pentru a trimite spam.

Pentru cei care nu stiu despre ce e vorba si au centos/debian/probabil si altele, verificati sa nu aveti /lib/libkeyutils.so.1.9 sau /lib64//lib/libkeyutils.so.1.9, daca exista fisierul probabil aveti serverul spart.

demil

  • Oaspete
  • **
  • Mesaje postate: 92
  • Karma: +2/-0
    • Vezi Profilul
Re: Chestii urate de la case mari
« Răspuns #2 : Februarie 22, 2013, 03:24:50 pm »
err nu pot edita mai sus:
/lib64/libkeyutils.so.1.9
/lib/libkeyutils.so.1.9

(ma rog si la unii aparuse o versiune mai noua de libkeyutils cu backdoor, nu mai stiu numarul exact, verificati cu rpm daca apartine sau nu pachetului fisierul in cauza)

Ed

  • Membru
  • ***
  • Mesaje postate: 338
  • Karma: +9/-3
  • www.megahost.ro
    • Vezi Profilul
    • Megahost
Re: Chestii urate de la case mari
« Răspuns #3 : Februarie 22, 2013, 07:03:21 pm »
simplu de verificat cu un mic scriptulet facut de cei de la cloudlinux: (http://www.cloudlinux.com/blog/clnews/sshd-exploit.php)

$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh |/bin/bash

verifica si 32bit si 64bit. atat varianta libkeyutils.so.1.9 cat si libkeyutils-1.2.so.2

ionut_pe_net

  • Oaspete
  • **
  • Mesaje postate: 88
  • Karma: +2/-0
  • txt
    • Vezi Profilul
Re: Chestii urate de la case mari
« Răspuns #4 : Februarie 23, 2013, 12:42:43 am »
Aceiasi problema doar ca /lib64/libkeyutils.so.1.3 pe centos instalat de 2 zile

demil

  • Oaspete
  • **
  • Mesaje postate: 92
  • Karma: +2/-0
    • Vezi Profilul
Re: Chestii urate de la case mari
« Răspuns #5 : Februarie 23, 2013, 01:31:14 am »
Pai verifica-l, din cate am vazut hackerul care pune backdoor-ul face manual acest lucru, asa ca poate pune orice nume la lib-ul in cauza.

Andrei G.

  • Membru
  • ***
  • Mesaje postate: 250
  • Karma: +3/-42
    • Vezi Profilul
Re: Chestii urate de la case mari
« Răspuns #6 : Februarie 26, 2013, 02:16:05 am »
Asa am banuit si eu, ori de la cpanel support ori de la o versiune de kernel la cloudlinux.

Rezolat cu reinstall de server.



Destul de urat: un email primit azi-dimineata de la cPanel.net: