Administratorzy wielu serwerów linuksowych zauważyli niedawno obecność nowego pliku w katalogu /lib64 – libkeyutils.so.1.9. Według ich obserwacji kod, zawarty w tym pliku jest zdolny do rozsyłania spamu, zbierania i przesyłania loginów i skrótów haseł oraz pełni funkcję backdoora, umożliwiając zalogowanie się do komputera z uprawnieniami roota.

Sądząc po lokalizacji pliku do jego umieszczenia niezbędne jest posiadanie uprawnień użytkownika uprzywilejowanego. Aktualnie nie jest znany jeszcze sposób, w jaki plik zostaje umieszczony na serwerach. Jedną z hipotez jest wykorzystanie luki CVE-2012-5671 w serwerze Exim. Użytkownicy sugerują, że powyższe problemy pojawiały się na następujących dystrybucjach: Centos 5.x, 6.x, Cloudlinux 5.x, 6.x.

Ponadto serwis Niebezpiecznik.pl podaje, że do zakażenia złośliwym kodem może dojść na serwerach, wyposażonych w panele administracji CPanel, DirectAdmin oraz Plesk.

Na portalu WebHosting Talk trwa ożywiona dyskusja na temat wykrytego zagrożenia. Ponadto stworzono specjalną stronę, na której publikowane są podsumowania dotychczasowych ustaleń.

Warto przeczytać

  • Backdoor? Zgłębiłeś(/aś) chociaż odrobinę temat? Wiele wskazuje na to (choćby wspominany niebezpiecznik [1] [2]), że nie jest to żaden backdoor czy nowa dziura, a wykradzione hasła z… zawirusowanych (zatrojanowanych?) Windowsów.
    [1] http://www.webhostingtalk.com/showpost.php?p=8567
    [2] http://www.webhostingtalk.com/showpost.php?p=8566

    • Oczywiście przyczyna może także być w [1] innym miejscu.
      [1] http://web.nvd.nist.gov/view/vuln/detail?vulnId=C

      • _kj_

        Widzę, że jesteś po głębokim zgłębieniu tematu, może zatem czas wyjaśnić wszystkim zainteresowanym co jest co.

        Backdoor to furtka zostawiona przez napastnika, która może być później używana do łatwego dostępu do systemu i w/w oprogramowanie można tak nazwać (chociażby przez to, że jest używane do zdalnego rozsyłania spamu z zaatakowanych maszyn).

        Dziura – tu właśnie pogrzebane jest pytanie, bo nie do końca wiadomo, skąd ten badziew się bierze. Owszem, teorie są przeróżne, od błędów w Eximie przez ataki z wykorzystaniem komputerów administratorów (tak, to z keyloggerami też), tyle, że na razie konkluzji brak.

        Możesz mi jeszcze powiedzieć skąd wytrzasnąłeś rewelacje o "nowej dziurze"? W newsie nie ma o tym ani słowa…

        • o_O

          Backdoor to z jednej strony furtka, ale popularna jest także definicja backdoora jako wirusa automatycznie infekującego komputer i otwierającego tę furtkę.

          Pisząc "Nowy backdoor dla systemów z rodziny Linux" musisz mieć na myśli tę drugą definicję, bo przecież metod ręcznego wystawienia furtki są tysiące!

          Zaistnienie tej drugiej sytuacji wiązałoby się oczywiście z "nową dziurą" w Linuksie, a jak pokazują fakty jest to nieprawda.
          Wręcz przeciwnie. Znów okazuje się, że najprawdopodobniej zainfekowano komputery z Windowsem, podsłuchano hasła wpisywane w celu łączenia się z Linuksowymi serwerami i użyto zainfekowanych Windowsów jako proxy do dostania się do Linuksów. Microsoft jak zwykle na dnie.

          Pisz więc artykuły z głową i unikaj chwytliwych tematów, to ustrzeżesz się takich głupich wpadek.

          • _kj_

            Opisywany powyżej backdoor instaluje się automatycznie, a co gorsze nie znana jest metoda infekcji. Ludzie na forum cały czas usiłują dociec co się dzieje.

            A co do idei ze zwalaniem na trojany windowsowe, nie wiem, czy Ci administratorzy są tak głupi, czy nie, ale ludzie donosili, że mają włamania nawet na świeżo postawione systemy. A po włamaniu raczej nie ustawia się drugi raz tego samego hasła… W każdym razie – czekamy na rozwój wydarzeń.

          • o_O

            Gdzie napisano, że instaluje się automatycznie?
            Gdyby nawet tak było, to automatyzować instalację może trojan na windowsie używanym do podłączenia się do Linuksowego serwera, więc to nadal nie implikuje dziury w Linuksie.

            Hasło jest na bieżąco czytane z zarażonych komputerów z windowsem, co też specjalnie przetestowano logując się z takiego zainfekowanego windowsa do honeypota ze świeżo zainstalowanym Linuksem.

            Weź przeczytaj dokładnie i ze zrozumieniem informacje na ten temat na zacytowanych przez siebie stronach.

          • pow3rshell

            1)Wiem, że nie chciało CI się przejrzeć wszystkich stron tego postu co jest w webhostingtalk ale tam jest napisane, że wystąpiło u userów którzy korzystali tylko z połączenia LINUX – LINUX
            2) https://lists.exim.org/lurker/message/20121026.08… wskazuje ewidentnie na lukę w Exim tak samo jak CVE-2012-5671

          • _kj_

            Co do automatyczności: https://forums.cpanel.net/f185/sshd-rootkit-32396

            3 polecenia na sekundę dla człowieka (jeszcze zdalnie) to niezły wynik, nie sądzisz?

            Dwa, na razie nic nie wiadomo, bo pojawiają się posty ludzi, którzy przeinstalowali system od zera dysponując wyłącznie Linuksami i też mają infekcje. Jak rozumiem, robocze wyniki analiz zawsze traktujesz jako prawdę objawioną (oczywiście o ile sugerują one winę Windowsa)? Póki co źródło całego problemu jest ustalane, poczekajmy na ostateczną odpowiedź i wtedy dowiemy się, czy mamy śmiać się z uroków Windowsa, czy z (nie)rozgarnięcia developerów Linuksa…

          • Seba

            I dopiero wtedy należałoby napisać artykuł, zamiast robić papkę jaką to zwykle robi PR M$. Metoda popularna także w polityce.

          • _kj_

            Nie, artykuł pisze się po to, żeby ludzie, którzy administruję serwerami byli odpowiednio wcześnie poinformowani i sprawdzili sobie serwery. Bo liczę, że czytelnikami osnews są chyba jacyś administratorzy, right? Napisałem tyle, żeby zasygnalizować problem, reszta jest w linkach.

            Odnośnie bredni o PR/polityce: PR M$ dba sam o siebie, polityką zajmuje się (lekko licząc) 3/4 ludzi w tym kraju, ale informacje o problemach z bezpieczeństwem jakoś same się nie publikują, a akurat na tym portalu byłyby znacznie bardziej wartościowe.

          • Seba

            Administratorzy korzystają z odpowiednich serwisów poświęconych głównie bezpieczeństwu (np. polskojęzyczny cert.pl), na których to, artykuły i tematy artykułów są odpowiednio pisane, aby nie zakłamywać rzeczywistości.
            Tutaj zaglądają raczej popatrzeć co jeszcze się dzieje w świecie IT.

          • _kj_

            O jakim zakłamywaniu rzeczywistości mówisz?

          • Seba

            Pod każdym z Twoich artykułów (aż 2 w ten sam sposób napisane), masz komentarze, czytaj je uważnie i ucz się z nich co robisz nie tak. Wtedy Twoje artykuły zyskają na wartości.
            Jeśli sam tego nie dostrzegasz, to nikt Ci nie pomoże.

          • _kj_

            Ale rozmawiamy o zakłamywaniu rzeczywistości, czy stylistyce pisania newsów, bo chyba Ci się kategorie moralne ze stylistycznymi pomieszały?

          • o_O

            "polityką zajmuje się (lekko licząc) 3/4 ludzi w tym kraju"

            3/4 ludzi w tym kraju to nie ma mózgu. A pozostałym się nie chce.

            Polityką to zajmują się nieliczni blogerzy i aktywiści w serwisach typu niezależna.pl czy nowyekran.pl. Reszta słyszalnych w Internecie ludzi zajmuje się bezmyślnym przytakiwaniem telewizorowi albo najczęściej są opłacani przez PO za dodawanie setkami swoich idiotycznych komentarzy.

            Nie obrażaj więc ludzi, który faktycznie zajmują się polityką w tym kraju.

          • O właśnie, co z tym nowym ekranem, on został przejęty przez żydowskich spiskowców czy może właśnie żydowskich spiskowców z niego przegonili?

            No i gdzie mój absolutny faworyt w kategorii "prawicowe szambo", Legion św. Ekspedyta?

          • solokazama

            ta, niezalezna.pl . dobre.

          • (___|___)

            niezalezna.pl hahahahahaha 😀

          • kaczor

            niezależna.pl

            błahahaha, leżę no po prostu k.. leżę; najbardziej zakłamany i propagandowy portal; brednie z GW to przy tym szczyt obiektywizmu

          • tanaka

            taka ona niezależna jak komputer od prądu 😀

          • 0_o

            Linux umiera…

          • "Hasło jest na bieżąco czytane z zarażonych komputerów z windowsem, co też specjalnie przetestowano logując się z takiego zainfekowanego windowsa do honeypota ze świeżo zainstalowanym Linuksem. "

            http://www.webhostingtalk.com/showpost.php?p=8567… ? To bardziej akurat świadczy o inteligencji testującego (i wierzących w taki "test") niż że hasła są czytane z zarażonych komputerów. Test oczywiście tego nie wykluczył ale i nie udowodnił, co najwyżej można powiedzieć, że w niewielkim stopniu uprawdopodobnił.

            Opracowanie testu, który taką tezę może udowodnić zostawiam jako ćwiczenie dla czytelników.

  • herr

    Dobrze napisany news. Tak trzymać. Brakuje jedynie informacji o tym, jak sprawdzić czy system jest zagrożony lub link do takieg opisu.

    • Hydra

      niebezpiecznik piał jak to zrobić

  • J_G

    > "Ponadto serwis Niebezpiecznik.pl podaje, że do zakażenia złośliwym kodem może dojść na serwerach, wyposażonych w panele administracji CPanel, DirectAdmin oraz Plesk."

    No więc być może sytuacja powoli się wyjaśnia i warto znowu zajrzeć np. na "Niebezpiecznik.pl", bowiem wiele wskazuje, ze powodem calej afery jest włam na serwer wsparcia technicznego firmy produkujacej cPanel, ponoć powszechnie uzywany w zastosowaniach o jakich tu mowa (hosting serwerów). Zatem ani Linux, ani Winda (ani inne systemy, które wspera cPanel) tu nie winne, tylko cpanel.net.

    • _kj_

      Czyli inteligencji i sprytu gratulujemy administratorom wysyłającym swoje hasła roota ;-).

      Swoją drogą – nowa dziura w Linuksie też jest: http://seclists.org/oss-sec/2013/q1/420

      Ale newsa tym razem już o tym nie napiszę 😉

  • zaufany

  • Nadal aktualna jest ta luka?

    • J_G

      > Nadal aktualna jest ta luka?

      Ta luka dotyczy – z tego co wiadomo – paneli administracyjnych wirtualnych serwerów, zatem nie bezpośrednio Linuksa, choć właśnie Linuks zwykle występuje w takich wirtualnych serwerach. W kilku aż stwierdzono powazne luki (nie tylko w cPanel) – przejrzyj sobie rubryczkę Security na H-online, powiedzmy z maja.

      Z takiej natury luki/luk daje to mozliwość działania z dowolnym OS instalowanym w takich maszynach wirtualnych i moze nie tylko z wirtualnymi serwerami. Luki w panelach były różnego rodzaju.

      Także w CMS-ach jakoś obrodziły w tym czasie. Nawet w kernelu stwierdzono błąd pozwalający na podniesienie uprawnień – w nowszych wersjach (od 3.2, jeśli dobrze pamietam).

      Czy nadal jest aktualna? tu jest element niepewności, bo w zasadzie nie ma jednej luki i trzeba sprawdzić dokładnie. Przypuszczam, że te znane błędy raczej załatano. W kernelu zrobiono to bardzo szybko.

  • Dzieki za odpowiedz,

    Chodzi mi kontekst direct admina na vps stojącego na debianie.
    Mialem ostatnio sporo problemów z włamaniami, wiec natrafiłem miedzy innymi na ten arytkul, stad pytanie.

    Moze masz jakieś artykuły dotyczace zabezpieczeń pod tym kątem: VPS plus direct admin?

    • J_G

      @Bogdan Markowicz:

      przykro mi, nie potrafię Ci pomóc. Skoro dotyka to różnych tego rodzaju urządzeń, to być może ma to związek ze specyfiką uzywanych protokołów sieciowych. Pewnie słyszałeś o książce "Splątana sieć" M. Zalewskiego? (oryginał, siłą rzeczy bardziej godny polecenia, po angielsku). Z lektury tego niezbyt optymistycznego tekstu mogą wyniknąć jakieś wskazówki dla Twojego problemu, kto wie?

  • Dzięki, cenna wskazówka:)

© OSnews.pl 2016. All rights reserved.