Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-02-22 23:36:54
Bitels - 
Użytkownik
- Bitels
- Użytkownik
- Zarejestrowany: 2012-10-31
ssh dziura?
Panowie tak się właśnie naciełem na:
[url]http://niebezpiecznik.pl/post/backdoor-udajacy-biblioteke-ssh-sprawdzcie-swoje-systemy-pod-katem-libkeyutils-so-1-9/[/url]
mam się bać?
w każdym bądź razie u mnie wygląda to tak:
Kod:
locate libkeyutils /lib/x86_64-linux-gnu/libkeyutils.so.1 /lib/x86_64-linux-gnu/libkeyutils.so.1.4 /usr/share/doc/libkeyutils1 /usr/share/doc/libkeyutils1/changelog.Debian.gz /usr/share/doc/libkeyutils1/copyright /var/cache/apt/archives/libkeyutils1_1.5.2-2_amd64.deb /var/lib/dpkg/info/libkeyutils1:amd64.list /var/lib/dpkg/info/libkeyutils1:amd64.md5sums /var/lib/dpkg/info/libkeyutils1:amd64.postinst /var/lib/dpkg/info/libkeyutils1:amd64.postrm /var/lib/dpkg/info/libkeyutils1:amd64.shlibs
na serwerze domowym tak:
Kod:
root@Debian:~# locate libkeyutils /lib/libkeyutils.so.1 /lib/libkeyutils.so.1.3 /usr/share/doc/libkeyutils1 /usr/share/doc/libkeyutils1/changelog.Debian.gz /usr/share/doc/libkeyutils1/copyright /var/lib/dpkg/info/libkeyutils1.list /var/lib/dpkg/info/libkeyutils1.md5sums /var/lib/dpkg/info/libkeyutils1.postinst /var/lib/dpkg/info/libkeyutils1.postrm /var/lib/dpkg/info/libkeyutils1.shlibs
puki co chyba nie mam się czego bać?
najgorsze jest to że jeszcze nie wykryli przyczyny infekcji... Panowie macie jakieś inn wieści?
Offline
#2 2013-02-23 01:10:36
gindek - Zubr, bydle na etacie.
- gindek
- Zubr, bydle na etacie.
- Skąd: Z puszczy.
- Zarejestrowany: 2008-12-08
Re: ssh dziura?
zmien nazwe biblioteki :-), jak sie sciagnie od nowa to wiesz ze masz problem.
Skoro wiesz jaki masz problem i wiesz ze go masz to zaczynasz monitorowac polaczenia wychodzace oraz przychodzace, jak biblioteka sie sciagnie to po czasie polaczenia oraz po dacie utrzorzenia biblioteki ( zakadajac ze nie jest modyfikowany) bedziesz w stanie stwierdzic skad to sie ***** wzielo :-).
iptables ubijesz polaczenia na dany ip i jestes tymczasowo w domu.
Dodatkowo koazde polaczenie posiada cos w miano sygnatury w koncu masz mac masz ip, masz port, w przypadku requestu powtornego polaczenia zeby pobrac biblioteke, bedziesz jeszcze mial okreslona sekwencje bitow w pakiecie z requestem :-). ( nawet jezeli request idze przez jakis wlasny byte protocol ).
[edit]
sprawdzenie czy biblioteka istnieje pewnie opiera sie na sprawdzeniu czy plik istnieje, do tego celu na 99.5% idzie proba odczytu z biblioteki czyli proba otworznie pliku,
moza by monitorowac co chce otowrzyc ten plik ( ale nie jestem pewien jak :-), lsof raczej nie uchwycie tego requestu ).
No i jeszcze mozna klepnac plik o takiej samej nazwie
touch nazwa_pliku
potem zobaczyc czy zostanie utworzona nowa biblioteka, czy owy "wajrus" widzac plik o podanej nazwie zaprzestanie działań :-).
Prawde mowiac bardzo chcial bym miec maszynke z tym syfem zeby sie z nim pobawic po swojemu :-).
Ostatnio edytowany przez gindek (2013-02-23 01:16:23)
" Wojny przychodzą i odchodzą, a moi żołnierze są wieczni"
"Zbuduj mały, dziarski router z udostępnionych przez prowadzącego części od Kamaza?"
Offline
#3 2013-02-23 01:43:50
ArnVaker - Kapelusznik
- ArnVaker
- Kapelusznik
- Skąd: Midgard
- Zarejestrowany: 2009-05-06
Re: ssh dziura?
Z 3 i 4 na końcu są z repowego libkeyutils1 (zależnie od wersji), tam o taki z 9 na końcu chodzi.
[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]
Offline
#4 2013-02-23 01:59:50
jawojx - Użytkownik
- jawojx
- Użytkownik
- Zarejestrowany: 2012-10-11
Re: ssh dziura?
Właśnie , nikt nie stwierdził że ma się nazywać inaczej niż libkeyutils.so.1.9. Niektórzy piszą że to może być wina zawirusowanych Windowsów na których dochodzi do przechwycenia hasła roota przy logowaniu na serwery z Linuksem .
http://www.webhostingtalk.com/showpost.php?p=8567829&postcount=978
Są i inne zdania ;
http://www.webhostingtalk.com/showpost.php?p=8566703&postcount=845
Tu jak usunąć by nie instalowało się na nowo , gdy się to ma , nie sprawdzałem bo nie mam .
http://www.webhostingtalk.com/showpost.php?p=8566297&postcount=795
Offline
#5 2013-02-23 02:03:28
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: ssh dziura?
To nie jest dziura w ssh.
Prawdopodobnie dziura jest w jaju, dzięki czemu można z poziomu np php czy Apacha wbić się na konto roota, i podmienić bibliotekę.
Jest kilka sposobów, żeby nawet wyskoczyć z chroota przy takiej eskalacji uprawnień.
Zwłaszcza, że dotyczy to systemów RHEL, które miały trochę problemów z uprawnieniami plików w /proc, i oczywiście oficjalnie mają włączonego SELINUXA, którego jednak niewielu potrafi skonfigurować w trybie strict, żeby chronił cały system.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#6 2013-02-23 09:26:44
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: ssh dziura?
[quote=Jacekalex]To nie jest dziura w ssh.
Prawdopodobnie dziura jest w jaju[/quote]
To jest backdoor dla SSH. Gdzie jest dziura nikt nie wie, Ty od razu wyrokujesz, że pewnie w jądrze i PHP/Apache, ja śmiało stwierdzę, że pewnie w Fiacie 126p!
A równie dobrze żadnej dziury może nie być, autor backdoora mógł po prostu założyć darmowy serwer shelli, osobiście i celowo go zbackdoorował, po czym łowił logując się na podsłuchane hasła na roota na inne serwery lub próbując zwrotnie zalogować się na roota korzystając z hasła użytkownika serwera. Albo postawił hosting ze zbackdoorowanymi wymienionymi panelami administracyjnymi (dalej ta sama zasada). I kula śnieżna się toczy.
Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712
Offline
#7 2013-02-23 10:21:07
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: ssh dziura?
To jest backdoor dla SSH. Gdzie jest dziura nikt nie wie, Ty od razu wyrokujesz, że pewnie w jądrze i PHP/Apache, ja śmiało stwierdzę, że pewnie w Fiacie 126p![/quote]
W tym punkcie zgodzić się z tobą nie mogę, z prostego powodu.
Kto z użyszkodników systemowych ma prawo do zmiany tej biblioteki:Kod:
ls -l /lib64/libkeyutils.so.1.4 -rwxr-xr-x. 1 root root 38402 01-04 03:51 /lib64/libkeyutils.so.1.4Czy mnie się zdaje, czy tylko root?
Jaki moduł Linuxa nadzoruje uprawnienia użytkowników w zwykłym standardowym Debianie?
Czy mnie się zdaje, czy tylko root?
A kto ma takie uprawnienia w RHEL, gdzie od kopa po instalacji masz włączonego SELINUXA -tryb targeted?
Krasnoludki?
Moim zdaniem, w którymś momencie wykorzystano dziurę pozwalającą na eskalację uprawnień.
Identyczna sprawa, jak dziura w Debianie, opisana tutaj:
http://zaufanatrzeciastrona.pl/post/linuxowy-rootkit-wstrzykujacy-iframey-bezposrednio-do-pakietow-tcp/
Ciekawa sprawa? Dotyczy RHEL, ale nie dotyczy Fedory?
Czym się różni Fedora od RHEL?
Moim zdaniem, prawdopodobnie dziura była w kernelu 2.6.32.
Pewnie zalatana w którejs kolejnej wersji tego jajka, wychodzą praktycznie co tydzień.
Większości Linuxów już nie dotyczy, bo już dawno nikt z użytkowników np Debiana nie używa jajka 3.6.32, o ile np wie, co to backporty.
Kiedy ja ostatnio miałem 2.6.32? W Ubuntu 10.0.4? Kiedy to było?
Natomiast, jak znam administratorów różnych serwerów, to panuje zasada, jak działa, lepiej nie ruszać.
Zazwyczaj mają ważniejsze sprawy na głowie. ;)
I nie zawsze pamięta się o regularnych aktualizacjach.
Osobiście znam jeden serwer ( powszechnie znany), gdzie kilka dni temu widziałem php 5.3.15 - wyleciało z Gentoo z powodu dziur bezpieczeństwa, i jajo 2.6.33.2.
Zabytkowa i od dawna nie aktualizowana wersja, na szczęście dozbrojona łatką grsec, niestety starą jak sam kernel.
Oczywiście RHEL to duża i bogata firma, i tłumaczenie jest takie same, jak w M$
- u nas? to niemożliwe, to [s]użytkownicy[/s] administratorzy mają zainfekowane komputery i dlatego.
Wszystkie firmy z branży IT mają takie samo tłumaczenie, opracowane i przećwiczone miliony razy przez działy PR.
Pozdrawiam
;-)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#8 2013-02-23 10:25:24
Bitels - Użytkownik
- Bitels
- Użytkownik
- Zarejestrowany: 2012-10-31
Re: ssh dziura?
faktycznie nikt jeszcze nie zdjagnozował jak to badziewie się na tych serwerach znalazło... i to jest chyba w tym wszystkim najbardziej niepokojące.
Offline
#9 2013-02-25 09:21:30
bobycob - Członek z Ramienia
- bobycob
- Członek z Ramienia
- Skąd: Wrocław
- Zarejestrowany: 2007-08-15
Re: ssh dziura?
chyba coś już wiadomo:
[url]http://blog.sucuri.net/2013/02/cpanel-inc-server-compromised.html[/url]
Link z niebezpiecznika
Offline
#10 2013-02-25 12:17:42
lukaz1987 - Członek DUG
- lukaz1987
- Członek DUG
- Zarejestrowany: 2008-08-12
Re: ssh dziura?
Debian Squeezy domyślnie po zainstalowaniu pakietu [b]libkeyutils1[/b] tworzy biblioteki
Kod:
/lib/libkeyutils.so.1 /lib/libkeyutils.so.1.3
[url]http://packages.debian.org/search?suite=squeeze&arch=any&mode=filename&searchon=contents&keywords=libkeyutils.so[/url].
Offline
#11 2013-02-25 12:33:32
ArnVaker - Kapelusznik
- ArnVaker
- Kapelusznik
- Skąd: Midgard
- Zarejestrowany: 2009-05-06
Re: ssh dziura?
[b]lukaz1987[/b]: dzięki za info!
[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]
Offline
#12 2013-02-25 14:35:03
lukaz1987 - Członek DUG
- lukaz1987
- Członek DUG
- Zarejestrowany: 2008-08-12
Re: ssh dziura?
Ta biblioteka też występuję w innych gałęziach: wheezy, sid. Bez tej biblioteki nie mogłem dzisiaj włączyć programu pgadmin3.
Kod:
debian:/home/lukasz# pgadmin3 pgadmin3: error while loading shared libraries: libkeyutils.so.1: cannot open shared object file: No such file or directory
Offline
#13 2013-02-25 14:37:04
ArnVaker - Kapelusznik
- ArnVaker
- Kapelusznik
- Skąd: Midgard
- Zarejestrowany: 2009-05-06
Re: ssh dziura?
Czyli wszystkie Debiany zainfekowane. ;)
[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]
Offline
#14 2013-02-25 14:39:29
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: ssh dziura?
Ta biblioteka jest w porządku.
Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712
Offline
#15 2013-02-25 14:43:33
ArnVaker - Kapelusznik
- ArnVaker
- Kapelusznik
- Skąd: Midgard
- Zarejestrowany: 2009-05-06
Re: ssh dziura?
Wiem, pisałem o tym kilka postów wyżej. ;)
[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]
Offline
#16 2013-02-25 15:02:15
winnetou - złodziej wirków ]:->
Re: ssh dziura?
Ehhh. Najprostszy sposób że sprawdzić czy lib należy do tych podejrzanych czy jest czysty:
Kod:
strings PODEJRZANY_LIB | egrep 'connect|socket|inet_ntoa|gethostbyname'
Jak coś zwróci to system jest skompromitowany i nadaje się do reinstalki ;]
Do tego syf mógł się wbić przez exima lub w spób znacznie bardziej prozainczy: zainfekowany system z M$ na pokładzie
[url=http://www.webhostingtalk.com/showthread.php?p=8567874#post8567874]sznurek 1[/url]
[url=http://www.webhostingtalk.com/showpost.php?p=8567829&postcount=978]sznurek 2[/url]
[url=http://www.webhostingtalk.com/showpost.php?p=8566297&postcount=795]sznurek 3[/url]
[url=http://www.malwarebytes.org/]sprawdzenie M$[/url]
A wystarczy poszperać 5 minut na google i problem rozwiazany
Kod:
nilfheim ~ # strings /lib32/libkeyutils-1.2.so | egrep 'connect|socket|inet_ntoa|gethostbyname' nilfheim ~ # valhalla ~ # strings /lib32/libkeyutils.so.1.4 | egrep 'connect|socket|inet_ntoa|gethostbyname' valhalla ~ # winnetou@wigwam ~ $ strings /lib32/libkeyutils.so.1.4 | egrep 'connect|socket|inet_ntoa|gethostbyname' winnetou@wigwam ~ $
LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]
Offline
#17 2013-03-13 11:06:24
lukaz1987 - Członek DUG
- lukaz1987
- Członek DUG
- Zarejestrowany: 2008-08-12
Re: ssh dziura?
Coś w temacie [url]http://websecurity.pl/nowy-wirus-atakuje-serwery-linux/[/url]
Offline
#18 2013-03-13 11:49:04
jurgensen - Użytkownik
- jurgensen
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2010-01-26
Re: ssh dziura?
W artykule [url]http://zaufanatrzeciastrona.pl/post/wlamanie-do-serwisu-wsparcia-uzytkownikow-cpanelu/[/url] wskazano możliwą drogę, jaką rootkit mógł dostawać się do systemów.
Offline
#19 2013-03-13 12:44:29
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: ssh dziura?
Te tytuły ciągle wprowadzają w błąd. To nie są dziury w ssh tylko w różnego rodzaju panelach (tu np. w cPanel).
Offline
#20 2013-03-13 19:48:36
Bitels - Użytkownik
- Bitels
- Użytkownik
- Zarejestrowany: 2012-10-31
Re: ssh dziura?
Racja, niepotrzebnie tytuł jak z onetu... sorki za to.
Offline
#21 2013-03-13 20:00:29
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: ssh dziura?
Luz. Akurat miałem na myśli całe internety trąbiące o backdoorach w Linuksie :)
Ostatnio edytowany przez yossarian (2013-03-13 20:00:42)
Offline
#22 2013-03-13 20:03:00
mer - Członek DUG
- mer
- Członek DUG
- Zarejestrowany: 2010-08-05
Re: ssh dziura?
Szczerze?
Ja bym zrobił backup configów, stron i zaorał serwer od nowa....
[img]http://img811.imageshack.us/img811/2851/sygnas.png[/img]
Offline
#23 2013-03-13 20:50:36
ArnVaker - Kapelusznik
- ArnVaker
- Kapelusznik
- Skąd: Midgard
- Zarejestrowany: 2009-05-06
Re: ssh dziura?
[quote=Bitels]Racja, niepotrzebnie tytuł jak z onetu... sorki za to.[/quote]
Zawsze możesz zmienić.
[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]
Offline
#24 2013-03-13 21:05:21
Bitels - Użytkownik
- Bitels
- Użytkownik
- Zarejestrowany: 2012-10-31
Re: ssh dziura?
nie wiem czy jest sens... wszyscy którzy tu zaglądają i ich to interesuje już pewnie i tak przeczytali co chcieli, a zmieniając tytuł mógł bym tylko zmarnować bym ich cenny czas bo zobaczyli by "nowy tytuł". chociaż z drugiej strony pewnie i tak to robię offtopując ;)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00016 | SET CHARSET latin2 |
| 0.00005 | SET NAMES latin2 |
| 0.00120 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.42.233' WHERE u.id=1 |
| 0.00064 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.42.233', 1732298609) |
| 0.00048 | SELECT * FROM punbb_online WHERE logged<1732298309 |
| 0.00075 | SELECT topic_id FROM punbb_posts WHERE id=225374 |
| 0.00006 | SELECT id FROM punbb_posts WHERE topic_id=23018 ORDER BY posted |
| 0.00057 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=23018 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00286 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=23018 ORDER BY p.id LIMIT 0,25 |
| 0.00090 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=23018 |
| Total query time: 0.00773 s | |