Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2013-02-22 23:36:54

  Bitels - Użytkownik

Bitels
Użytkownik
Zarejestrowany: 2012-10-31

ssh dziura?

Panowie tak się właśnie naciełem na:
[url]http://niebezpiecznik.pl/post/backdoor-udajacy-biblioteke-ssh-sprawdzcie-swoje-systemy-pod-katem-libkeyutils-so-1-9/[/url]

mam się bać?

w każdym bądź razie u mnie wygląda to tak:

Kod:

locate libkeyutils
/lib/x86_64-linux-gnu/libkeyutils.so.1
/lib/x86_64-linux-gnu/libkeyutils.so.1.4
/usr/share/doc/libkeyutils1
/usr/share/doc/libkeyutils1/changelog.Debian.gz
/usr/share/doc/libkeyutils1/copyright
/var/cache/apt/archives/libkeyutils1_1.5.2-2_amd64.deb
/var/lib/dpkg/info/libkeyutils1:amd64.list
/var/lib/dpkg/info/libkeyutils1:amd64.md5sums
/var/lib/dpkg/info/libkeyutils1:amd64.postinst
/var/lib/dpkg/info/libkeyutils1:amd64.postrm
/var/lib/dpkg/info/libkeyutils1:amd64.shlibs

na serwerze domowym tak:

Kod:

root@Debian:~# locate libkeyutils
/lib/libkeyutils.so.1
/lib/libkeyutils.so.1.3
/usr/share/doc/libkeyutils1
/usr/share/doc/libkeyutils1/changelog.Debian.gz
/usr/share/doc/libkeyutils1/copyright
/var/lib/dpkg/info/libkeyutils1.list
/var/lib/dpkg/info/libkeyutils1.md5sums
/var/lib/dpkg/info/libkeyutils1.postinst
/var/lib/dpkg/info/libkeyutils1.postrm
/var/lib/dpkg/info/libkeyutils1.shlibs

puki co chyba nie mam się czego bać?
najgorsze jest to że jeszcze nie wykryli przyczyny infekcji... Panowie macie jakieś inn wieści?

Offline

 

#2  2013-02-23 01:10:36

  gindek - Zubr, bydle na etacie.

gindek
Zubr, bydle na etacie.
Skąd: Z puszczy.
Zarejestrowany: 2008-12-08

Re: ssh dziura?

zmien nazwe biblioteki :-), jak sie sciagnie od nowa to wiesz ze masz problem.
Skoro wiesz jaki masz problem i wiesz ze go masz to zaczynasz monitorowac polaczenia wychodzace oraz przychodzace, jak biblioteka sie sciagnie to po czasie polaczenia oraz po dacie utrzorzenia biblioteki ( zakadajac ze nie jest modyfikowany) bedziesz w stanie stwierdzic skad to sie ***** wzielo :-).

iptables ubijesz polaczenia na dany ip i jestes tymczasowo w domu.
Dodatkowo koazde polaczenie posiada cos w miano sygnatury w koncu masz mac masz ip, masz port, w przypadku requestu powtornego polaczenia zeby pobrac biblioteke, bedziesz jeszcze mial okreslona sekwencje bitow w pakiecie z requestem :-). ( nawet jezeli request idze przez jakis wlasny byte protocol ).

[edit]
sprawdzenie czy biblioteka istnieje pewnie opiera sie na sprawdzeniu czy plik istnieje, do tego celu na 99.5% idzie proba odczytu z biblioteki czyli proba otworznie pliku,
moza by monitorowac co chce otowrzyc ten plik ( ale nie jestem pewien jak :-), lsof raczej nie uchwycie tego requestu ).
No i jeszcze mozna klepnac plik o takiej samej nazwie

touch nazwa_pliku
potem zobaczyc czy zostanie utworzona nowa biblioteka, czy owy "wajrus" widzac plik o podanej nazwie zaprzestanie działań :-).



Prawde mowiac bardzo chcial bym miec maszynke z tym syfem zeby sie z nim pobawic po swojemu :-).

Ostatnio edytowany przez gindek (2013-02-23 01:16:23)


" Wojny przychodzą i odchodzą, a moi żołnierze są wieczni"


"Zbuduj mały, dziarski router z udostępnionych przez prowadzącego części od Kamaza?"

Offline

 

#3  2013-02-23 01:43:50

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: ssh dziura?

Z 3 i 4 na końcu są z repowego libkeyutils1 (zależnie od wersji), tam o taki z 9 na końcu chodzi.


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#4  2013-02-23 01:59:50

  jawojx - Użytkownik

jawojx
Użytkownik
Zarejestrowany: 2012-10-11

Re: ssh dziura?

Właśnie , nikt nie stwierdził  że ma się nazywać inaczej niż libkeyutils.so.1.9. Niektórzy piszą że to może być  wina zawirusowanych Windowsów na których dochodzi do przechwycenia hasła roota przy logowaniu na serwery z Linuksem .
http://www.webhostingtalk.com/showpost.php?p=8567829&postcount=978
Są i inne zdania ;
http://www.webhostingtalk.com/showpost.php?p=8566703&postcount=845

Tu jak usunąć by nie instalowało się na nowo , gdy się to ma , nie sprawdzałem bo nie mam .
http://www.webhostingtalk.com/showpost.php?p=8566297&postcount=795

Offline

 

#5  2013-02-23 02:03:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: ssh dziura?

To nie jest dziura w ssh.
Prawdopodobnie dziura jest w jaju, dzięki czemu można z poziomu np php czy Apacha wbić się na konto roota, i podmienić bibliotekę.
Jest kilka sposobów, żeby nawet wyskoczyć z chroota przy takiej eskalacji uprawnień.
Zwłaszcza, że dotyczy to systemów RHEL, które miały trochę problemów z uprawnieniami plików w /proc, i oczywiście oficjalnie mają włączonego SELINUXA, którego jednak niewielu potrafi skonfigurować w trybie strict, żeby chronił cały system.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2013-02-23 09:26:44

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: ssh dziura?

[quote=Jacekalex]To nie jest dziura w ssh.
Prawdopodobnie dziura jest w jaju[/quote]
To jest backdoor dla SSH. Gdzie jest dziura nikt nie wie, Ty od razu wyrokujesz, że pewnie w jądrze i PHP/Apache, ja śmiało stwierdzę, że pewnie w Fiacie 126p!

A równie dobrze żadnej dziury może nie być, autor backdoora mógł po prostu założyć darmowy serwer shelli, osobiście i celowo go zbackdoorował, po czym łowił logując się na podsłuchane hasła na roota na inne serwery lub próbując zwrotnie zalogować się na roota korzystając z hasła użytkownika serwera. Albo postawił hosting ze zbackdoorowanymi wymienionymi panelami administracyjnymi (dalej ta sama zasada). I kula śnieżna się toczy.


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#7  2013-02-23 10:21:07

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: ssh dziura?

To jest backdoor dla SSH. Gdzie jest dziura nikt nie wie, Ty od razu wyrokujesz, że pewnie w jądrze i PHP/Apache, ja śmiało stwierdzę, że pewnie w Fiacie 126p![/quote]
W tym punkcie zgodzić się z tobą nie mogę, z prostego powodu.
Kto z użyszkodników systemowych ma prawo do zmiany tej biblioteki:

Kod:

ls -l /lib64/libkeyutils.so.1.4
-rwxr-xr-x. 1 root root 38402 01-04 03:51 /lib64/libkeyutils.so.1.4

Czy mnie się zdaje, czy tylko root?

Jaki moduł Linuxa nadzoruje uprawnienia użytkowników w zwykłym standardowym Debianie?
Czy mnie się zdaje, czy tylko root?

A kto ma takie uprawnienia w RHEL, gdzie od kopa po instalacji masz włączonego SELINUXA -tryb targeted?
Krasnoludki?

Moim zdaniem, w którymś momencie wykorzystano dziurę pozwalającą na eskalację uprawnień.

Identyczna sprawa, jak dziura w Debianie, opisana  tutaj:
http://zaufanatrzeciastrona.pl/post/linuxowy-rootkit-wstrzykujacy-iframey-bezposrednio-do-pakietow-tcp/

Ciekawa sprawa? Dotyczy RHEL, ale nie dotyczy Fedory?
Czym się różni Fedora od RHEL?

Moim zdaniem, prawdopodobnie dziura była w kernelu 2.6.32.
Pewnie zalatana w którejs kolejnej wersji tego jajka, wychodzą praktycznie co tydzień.
Większości Linuxów już nie dotyczy, bo już dawno nikt z użytkowników np Debiana nie używa jajka 3.6.32, o ile np  wie, co to backporty.
Kiedy ja ostatnio miałem 2.6.32? W Ubuntu 10.0.4? Kiedy to było?

Natomiast, jak znam administratorów różnych serwerów, to panuje zasada, jak działa, lepiej nie ruszać.
Zazwyczaj mają ważniejsze sprawy na głowie. ;)
I nie zawsze pamięta się o regularnych aktualizacjach.
Osobiście znam jeden serwer ( powszechnie znany), gdzie kilka dni temu widziałem php 5.3.15 - wyleciało z Gentoo z powodu dziur bezpieczeństwa, i jajo 2.6.33.2.
Zabytkowa i od dawna nie aktualizowana wersja, na szczęście dozbrojona łatką grsec, niestety starą jak sam kernel.

Oczywiście RHEL to duża i bogata firma, i tłumaczenie jest takie same, jak  w M$
- u nas? to niemożliwe, to [s]użytkownicy[/s]  administratorzy mają zainfekowane komputery i dlatego.
Wszystkie firmy z branży IT mają takie samo tłumaczenie, opracowane i przećwiczone miliony razy przez działy PR.

Pozdrawiam
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2013-02-23 10:25:24

  Bitels - Użytkownik

Bitels
Użytkownik
Zarejestrowany: 2012-10-31

Re: ssh dziura?

faktycznie nikt jeszcze nie zdjagnozował jak to badziewie się na tych serwerach znalazło... i to jest chyba w tym wszystkim najbardziej niepokojące.

Offline

 

#9  2013-02-25 09:21:30

  bobycob - Członek z Ramienia

bobycob
Członek z Ramienia
Skąd: Wrocław
Zarejestrowany: 2007-08-15

Re: ssh dziura?

chyba coś już wiadomo:
[url]http://blog.sucuri.net/2013/02/cpanel-inc-server-compromised.html[/url]

Link z niebezpiecznika

Offline

 

#10  2013-02-25 12:17:42

  lukaz1987 - Członek DUG

lukaz1987
Członek DUG
Zarejestrowany: 2008-08-12

Re: ssh dziura?

Debian Squeezy domyślnie po zainstalowaniu pakietu [b]libkeyutils1[/b] tworzy biblioteki

Kod:

/lib/libkeyutils.so.1
/lib/libkeyutils.so.1.3

[url]http://packages.debian.org/search?suite=squeeze&arch=any&mode=filename&searchon=contents&keywords=libkeyutils.so[/url].

Offline

 

#11  2013-02-25 12:33:32

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: ssh dziura?

[b]lukaz1987[/b]: dzięki za info!


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#12  2013-02-25 14:35:03

  lukaz1987 - Członek DUG

lukaz1987
Członek DUG
Zarejestrowany: 2008-08-12

Re: ssh dziura?

Ta biblioteka też występuję w innych gałęziach: wheezy, sid.  Bez tej biblioteki nie mogłem dzisiaj włączyć programu pgadmin3.

Kod:

debian:/home/lukasz# pgadmin3 
pgadmin3: error while loading shared libraries: libkeyutils.so.1: cannot open shared object file: No such file or directory

Offline

 

#13  2013-02-25 14:37:04

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: ssh dziura?

Czyli wszystkie Debiany zainfekowane. ;)


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#14  2013-02-25 14:39:29

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: ssh dziura?

Ta biblioteka jest w porządku.


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#15  2013-02-25 14:43:33

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: ssh dziura?

Wiem, pisałem o tym kilka postów wyżej. ;)


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#16  2013-02-25 15:02:15

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: ssh dziura?

Ehhh. Najprostszy sposób że sprawdzić czy lib należy do tych podejrzanych czy jest czysty:

Kod:

strings PODEJRZANY_LIB | egrep 'connect|socket|inet_ntoa|gethostbyname'

Jak coś zwróci to system jest skompromitowany i nadaje się do reinstalki ;]
Do tego syf mógł się wbić przez exima lub w spób znacznie bardziej prozainczy: zainfekowany system z M$ na pokładzie
[url=http://www.webhostingtalk.com/showthread.php?p=8567874#post8567874]sznurek 1[/url]
[url=http://www.webhostingtalk.com/showpost.php?p=8567829&postcount=978]sznurek 2[/url]
[url=http://www.webhostingtalk.com/showpost.php?p=8566297&postcount=795]sznurek 3[/url]
[url=http://www.malwarebytes.org/]sprawdzenie M$[/url]

A wystarczy poszperać 5 minut na google i problem rozwiazany

Kod:

nilfheim ~ # strings /lib32/libkeyutils-1.2.so | egrep 'connect|socket|inet_ntoa|gethostbyname'
nilfheim ~ # 
valhalla ~ # strings /lib32/libkeyutils.so.1.4 | egrep 'connect|socket|inet_ntoa|gethostbyname'
valhalla ~ # 
winnetou@wigwam ~ $ strings /lib32/libkeyutils.so.1.4 | egrep 'connect|socket|inet_ntoa|gethostbyname'
winnetou@wigwam ~ $

LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]

Offline

 

#17  2013-03-13 11:06:24

  lukaz1987 - Członek DUG

lukaz1987
Członek DUG
Zarejestrowany: 2008-08-12

Re: ssh dziura?

Coś w temacie [url]http://websecurity.pl/nowy-wirus-atakuje-serwery-linux/[/url]

Offline

 

#18  2013-03-13 11:49:04

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: ssh dziura?

W artykule [url]http://zaufanatrzeciastrona.pl/post/wlamanie-do-serwisu-wsparcia-uzytkownikow-cpanelu/[/url] wskazano możliwą drogę, jaką rootkit mógł dostawać się do systemów.

Offline

 

#19  2013-03-13 12:44:29

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: ssh dziura?

Te tytuły ciągle wprowadzają w błąd. To nie są dziury w ssh tylko w różnego rodzaju panelach (tu np. w cPanel).

Offline

 

#20  2013-03-13 19:48:36

  Bitels - Użytkownik

Bitels
Użytkownik
Zarejestrowany: 2012-10-31

Re: ssh dziura?

Racja, niepotrzebnie tytuł jak z onetu... sorki za to.

Offline

 

#21  2013-03-13 20:00:29

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: ssh dziura?

Luz. Akurat miałem na myśli całe internety trąbiące o backdoorach w Linuksie :)

Ostatnio edytowany przez yossarian (2013-03-13 20:00:42)

Offline

 

#22  2013-03-13 20:03:00

  mer - Członek DUG

mer
Członek DUG
Zarejestrowany: 2010-08-05

Re: ssh dziura?

Szczerze?
Ja bym zrobił backup configów, stron i zaorał serwer od nowa....


[img]http://img811.imageshack.us/img811/2851/sygnas.png[/img]

Offline

 

#23  2013-03-13 20:50:36

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: ssh dziura?

[quote=Bitels]Racja, niepotrzebnie tytuł jak z onetu... sorki za to.[/quote]
Zawsze możesz zmienić.


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#24  2013-03-13 21:05:21

  Bitels - Użytkownik

Bitels
Użytkownik
Zarejestrowany: 2012-10-31

Re: ssh dziura?

nie wiem czy jest sens... wszyscy którzy tu zaglądają i ich to interesuje już pewnie i tak przeczytali co chcieli, a zmieniając tytuł mógł bym tylko zmarnować bym ich cenny czas bo zobaczyli by "nowy tytuł". chociaż z drugiej strony pewnie i tak to robię offtopując ;)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.014 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00016 SET CHARSET latin2
0.00008 SET NAMES latin2
0.00188 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.217.237.169' WHERE u.id=1
0.00097 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.217.237.169', 1732299549)
0.00047 SELECT * FROM punbb_online WHERE logged<1732299249
0.00076 DELETE FROM punbb_online WHERE ident='3.145.7.187'
0.00053 SELECT topic_id FROM punbb_posts WHERE id=225640
0.00005 SELECT id FROM punbb_posts WHERE topic_id=23018 ORDER BY posted
0.00061 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=23018 AND t.moved_to IS NULL
0.00007 SELECT search_for, replace_with FROM punbb_censoring
0.00288 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=23018 ORDER BY p.id LIMIT 0,25
0.00123 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=23018
Total query time: 0.00969 s