Forum Debian Users Gang

Bitels · 2013-02-22 23:36:54

Panowie tak się właśnie naciełem na:
http://niebezpiecznik.pl/post/backdoor-udajacy-bibl … utils-so-1-9/

mam się bać?

w każdym bądź razie u mnie wygląda to tak:

Kod:

locate libkeyutils
/lib/x86_64-linux-gnu/libkeyutils.so.1
/lib/x86_64-linux-gnu/libkeyutils.so.1.4
/usr/share/doc/libkeyutils1
/usr/share/doc/libkeyutils1/changelog.Debian.gz
/usr/share/doc/libkeyutils1/copyright
/var/cache/apt/archives/libkeyutils1_1.5.2-2_amd64.deb
/var/lib/dpkg/info/libkeyutils1:amd64.list
/var/lib/dpkg/info/libkeyutils1:amd64.md5sums
/var/lib/dpkg/info/libkeyutils1:amd64.postinst
/var/lib/dpkg/info/libkeyutils1:amd64.postrm
/var/lib/dpkg/info/libkeyutils1:amd64.shlibs

na serwerze domowym tak:

Kod:

root@Debian:~# locate libkeyutils
/lib/libkeyutils.so.1
/lib/libkeyutils.so.1.3
/usr/share/doc/libkeyutils1
/usr/share/doc/libkeyutils1/changelog.Debian.gz
/usr/share/doc/libkeyutils1/copyright
/var/lib/dpkg/info/libkeyutils1.list
/var/lib/dpkg/info/libkeyutils1.md5sums
/var/lib/dpkg/info/libkeyutils1.postinst
/var/lib/dpkg/info/libkeyutils1.postrm
/var/lib/dpkg/info/libkeyutils1.shlibs

puki co chyba nie mam się czego bać?
najgorsze jest to że jeszcze nie wykryli przyczyny infekcji... Panowie macie jakieś inn wieści?

gindek · 2013-02-23 01:10:36

zmien nazwe biblioteki :-), jak sie sciagnie od nowa to wiesz ze masz problem.
Skoro wiesz jaki masz problem i wiesz ze go masz to zaczynasz monitorowac polaczenia wychodzace oraz przychodzace, jak biblioteka sie sciagnie to po czasie polaczenia oraz po dacie utrzorzenia biblioteki ( zakadajac ze nie jest modyfikowany) bedziesz w stanie stwierdzic skad to sie ***** wzielo :-).

iptables ubijesz polaczenia na dany ip i jestes tymczasowo w domu.
Dodatkowo koazde polaczenie posiada cos w miano sygnatury w koncu masz mac masz ip, masz port, w przypadku requestu powtornego polaczenia zeby pobrac biblioteke, bedziesz jeszcze mial okreslona sekwencje bitow w pakiecie z requestem :-). ( nawet jezeli request idze przez jakis wlasny byte protocol ).

[edit]
sprawdzenie czy biblioteka istnieje pewnie opiera sie na sprawdzeniu czy plik istnieje, do tego celu na 99.5% idzie proba odczytu z biblioteki czyli proba otworznie pliku,
moza by monitorowac co chce otowrzyc ten plik ( ale nie jestem pewien jak :-), lsof raczej nie uchwycie tego requestu ).
No i jeszcze mozna klepnac plik o takiej samej nazwie

touch nazwa_pliku
potem zobaczyc czy zostanie utworzona nowa biblioteka, czy owy "wajrus" widzac plik o podanej nazwie zaprzestanie działań :-).

Prawde mowiac bardzo chcial bym miec maszynke z tym syfem zeby sie z nim pobawic po swojemu :-).

Ostatnio edytowany przez gindek (2013-02-23 01:16:23)

ArnVaker · 2013-02-23 01:43:50

Z 3 i 4 na końcu są z repowego libkeyutils1 (zależnie od wersji), tam o taki z 9 na końcu chodzi.

jawojx · 2013-02-23 01:59:50

Właśnie , nikt nie stwierdził że ma się nazywać inaczej niż libkeyutils.so.1.9. Niektórzy piszą że to może być wina zawirusowanych Windowsów na których dochodzi do przechwycenia hasła roota przy logowaniu na serwery z Linuksem .
http://www.webhostingtalk.com/showpost.php?p=8567829&postcount=978
Są i inne zdania ;
http://www.webhostingtalk.com/showpost.php?p=8566703&postcount=845

Tu jak usunąć by nie instalowało się na nowo , gdy się to ma , nie sprawdzałem bo nie mam .
http://www.webhostingtalk.com/showpost.php?p=8566297&postcount=795

Jacekalex · 2013-02-23 02:03:28

To nie jest dziura w ssh.
Prawdopodobnie dziura jest w jaju, dzięki czemu można z poziomu np php czy Apacha wbić się na konto roota, i podmienić bibliotekę.
Jest kilka sposobów, żeby nawet wyskoczyć z chroota przy takiej eskalacji uprawnień.
Zwłaszcza, że dotyczy to systemów RHEL, które miały trochę problemów z uprawnieniami plików w /proc, i oczywiście oficjalnie mają włączonego SELINUXA, którego jednak niewielu potrafi skonfigurować w trybie strict, żeby chronił cały system.

azhag · 2013-02-23 09:26:44

Jacekalex napisał(-a):
To nie jest dziura w ssh.
Prawdopodobnie dziura jest w jaju

To jest backdoor dla SSH. Gdzie jest dziura nikt nie wie, Ty od razu wyrokujesz, że pewnie w jądrze i PHP/Apache, ja śmiało stwierdzę, że pewnie w Fiacie 126p!

A równie dobrze żadnej dziury może nie być, autor backdoora mógł po prostu założyć darmowy serwer shelli, osobiście i celowo go zbackdoorował, po czym łowił logując się na podsłuchane hasła na roota na inne serwery lub próbując zwrotnie zalogować się na roota korzystając z hasła użytkownika serwera. Albo postawił hosting ze zbackdoorowanymi wymienionymi panelami administracyjnymi (dalej ta sama zasada). I kula śnieżna się toczy.

Jacekalex · 2013-02-23 10:21:07

To jest backdoor dla SSH. Gdzie jest dziura nikt nie wie, Ty od razu wyrokujesz, że pewnie w jądrze i PHP/Apache, ja śmiało stwierdzę, że pewnie w Fiacie 126p!

W tym punkcie zgodzić się z tobą nie mogę, z prostego powodu.
Kto z użyszkodników systemowych ma prawo do zmiany tej biblioteki:

Kod:

ls -l /lib64/libkeyutils.so.1.4
-rwxr-xr-x. 1 root root 38402 01-04 03:51 /lib64/libkeyutils.so.1.4

Czy mnie się zdaje, czy tylko root?

Jaki moduł Linuxa nadzoruje uprawnienia użytkowników w zwykłym standardowym Debianie?
Czy mnie się zdaje, czy tylko root?

A kto ma takie uprawnienia w RHEL, gdzie od kopa po instalacji masz włączonego SELINUXA -tryb targeted?
Krasnoludki?

Moim zdaniem, w którymś momencie wykorzystano dziurę pozwalającą na eskalację uprawnień.

Identyczna sprawa, jak dziura w Debianie, opisana tutaj:
http://zaufanatrzeciastrona.pl/post/linuxowy-rootki … pakietow-tcp/

Ciekawa sprawa? Dotyczy RHEL, ale nie dotyczy Fedory?
Czym się różni Fedora od RHEL?

Moim zdaniem, prawdopodobnie dziura była w kernelu 2.6.32.
Pewnie zalatana w którejs kolejnej wersji tego jajka, wychodzą praktycznie co tydzień.
Większości Linuxów już nie dotyczy, bo już dawno nikt z użytkowników np Debiana nie używa jajka 3.6.32, o ile np wie, co to backporty.
Kiedy ja ostatnio miałem 2.6.32? W Ubuntu 10.0.4? Kiedy to było?

Natomiast, jak znam administratorów różnych serwerów, to panuje zasada, jak działa, lepiej nie ruszać.
Zazwyczaj mają ważniejsze sprawy na głowie. ;)
I nie zawsze pamięta się o regularnych aktualizacjach.
Osobiście znam jeden serwer ( powszechnie znany), gdzie kilka dni temu widziałem php 5.3.15 - wyleciało z Gentoo z powodu dziur bezpieczeństwa, i jajo 2.6.33.2.
Zabytkowa i od dawna nie aktualizowana wersja, na szczęście dozbrojona łatką grsec, niestety starą jak sam kernel.

Oczywiście RHEL to duża i bogata firma, i tłumaczenie jest takie same, jak w M$
- u nas? to niemożliwe, to użytkownicy administratorzy mają zainfekowane komputery i dlatego.
Wszystkie firmy z branży IT mają takie samo tłumaczenie, opracowane i przećwiczone miliony razy przez działy PR.

Pozdrawiam
;-)

Bitels · 2013-02-23 10:25:24

faktycznie nikt jeszcze nie zdjagnozował jak to badziewie się na tych serwerach znalazło... i to jest chyba w tym wszystkim najbardziej niepokojące.

bobycob · 2013-02-25 09:21:30

chyba coś już wiadomo:
http://blog.sucuri.net/2013/02/cpanel-inc-server-compromised.html

Link z niebezpiecznika

lukaz1987 · 2013-02-25 12:17:42

Debian Squeezy domyślnie po zainstalowaniu pakietu libkeyutils1 tworzy biblioteki

Kod:

/lib/libkeyutils.so.1
/lib/libkeyutils.so.1.3

http://packages.debian.org/search?suite=squeeze& … ibkeyutils.so.

ArnVaker · 2013-02-25 12:33:32

lukaz1987: dzięki za info!

lukaz1987 · 2013-02-25 14:35:03

Ta biblioteka też występuję w innych gałęziach: wheezy, sid. Bez tej biblioteki nie mogłem dzisiaj włączyć programu pgadmin3.

Kod:

debian:/home/lukasz# pgadmin3 
pgadmin3: error while loading shared libraries: libkeyutils.so.1: cannot open shared object file: No such file or directory

ArnVaker · 2013-02-25 14:37:04

Czyli wszystkie Debiany zainfekowane. ;)

azhag · 2013-02-25 14:39:29

Ta biblioteka jest w porządku.

ArnVaker · 2013-02-25 14:43:33

Wiem, pisałem o tym kilka postów wyżej. ;)

winnetou · 2013-02-25 15:02:15

Ehhh. Najprostszy sposób że sprawdzić czy lib należy do tych podejrzanych czy jest czysty:

Kod:

strings PODEJRZANY_LIB | egrep 'connect|socket|inet_ntoa|gethostbyname'

Jak coś zwróci to system jest skompromitowany i nadaje się do reinstalki ;]
Do tego syf mógł się wbić przez exima lub w spób znacznie bardziej prozainczy: zainfekowany system z M$ na pokładzie
sznurek 1
sznurek 2
sznurek 3
sprawdzenie M$

A wystarczy poszperać 5 minut na google i problem rozwiazany

Kod:

nilfheim ~ # strings /lib32/libkeyutils-1.2.so | egrep 'connect|socket|inet_ntoa|gethostbyname'
nilfheim ~ # 
valhalla ~ # strings /lib32/libkeyutils.so.1.4 | egrep 'connect|socket|inet_ntoa|gethostbyname'
valhalla ~ # 
winnetou@wigwam ~ $ strings /lib32/libkeyutils.so.1.4 | egrep 'connect|socket|inet_ntoa|gethostbyname'
winnetou@wigwam ~ $

lukaz1987 · 2013-03-13 11:06:24

Coś w temacie http://websecurity.pl/nowy-wirus-atakuje-serwery-linux/

jurgensen · 2013-03-13 11:49:04

W artykule http://zaufanatrzeciastrona.pl/post/wlamanie-do-ser … ikow-cpanelu/ wskazano możliwą drogę, jaką rootkit mógł dostawać się do systemów.

yossarian · 2013-03-13 12:44:29

Te tytuły ciągle wprowadzają w błąd. To nie są dziury w ssh tylko w różnego rodzaju panelach (tu np. w cPanel).

Bitels · 2013-03-13 19:48:36

Racja, niepotrzebnie tytuł jak z onetu... sorki za to.

yossarian · 2013-03-13 20:00:29

Luz. Akurat miałem na myśli całe internety trąbiące o backdoorach w Linuksie :)

Ostatnio edytowany przez yossarian (2013-03-13 20:00:42)

mer · 2013-03-13 20:03:00

Szczerze?
Ja bym zrobił backup configów, stron i zaorał serwer od nowa....

ArnVaker · 2013-03-13 20:50:36

Bitels napisał(-a):
Racja, niepotrzebnie tytuł jak z onetu... sorki za to.

Zawsze możesz zmienić.

Bitels · 2013-03-13 21:05:21

nie wiem czy jest sens... wszyscy którzy tu zaglądają i ich to interesuje już pewnie i tak przeczytali co chcieli, a zmieniając tytuł mógł bym tylko zmarnować bym ich cenny czas bo zobaczyli by "nowy tytuł". chociaż z drugiej strony pewnie i tak to robię offtopując ;)

Forum Debian Users Gang

Ogłoszenie

#1 2013-02-22 23:36:54

Bitels - Użytkownik

ssh dziura?

Kod:

Kod:

#2 2013-02-23 01:10:36

gindek - Zubr, bydle na etacie.

Re: ssh dziura?

#3 2013-02-23 01:43:50

ArnVaker - Kapelusznik

Re: ssh dziura?

#4 2013-02-23 01:59:50

jawojx - Użytkownik

Re: ssh dziura?

#5 2013-02-23 02:03:28

Jacekalex - Podobno człowiek...;)

Re: ssh dziura?

#6 2013-02-23 09:26:44

azhag - Admin łajza

Re: ssh dziura?

Jacekalex napisał(-a):

#7 2013-02-23 10:21:07

Jacekalex - Podobno człowiek...;)

Re: ssh dziura?

Kod:

#8 2013-02-23 10:25:24

Bitels - Użytkownik

Re: ssh dziura?

#9 2013-02-25 09:21:30

bobycob - Członek z Ramienia

Re: ssh dziura?

#10 2013-02-25 12:17:42

lukaz1987 - Członek DUG

Re: ssh dziura?

Kod:

#11 2013-02-25 12:33:32

ArnVaker - Kapelusznik

Re: ssh dziura?

#12 2013-02-25 14:35:03

lukaz1987 - Członek DUG

Re: ssh dziura?

Kod:

#13 2013-02-25 14:37:04

ArnVaker - Kapelusznik

Re: ssh dziura?

#14 2013-02-25 14:39:29

azhag - Admin łajza

Re: ssh dziura?

#15 2013-02-25 14:43:33

ArnVaker - Kapelusznik

Re: ssh dziura?

#16 2013-02-25 15:02:15

winnetou - złodziej wirków ]:->

Re: ssh dziura?

Kod:

Kod:

#17 2013-03-13 11:06:24

lukaz1987 - Członek DUG

Re: ssh dziura?

#18 2013-03-13 11:49:04

jurgensen - Użytkownik

Re: ssh dziura?

#19 2013-03-13 12:44:29

yossarian - Szczawiożerca

Re: ssh dziura?

#20 2013-03-13 19:48:36

Bitels - Użytkownik

Re: ssh dziura?

#21 2013-03-13 20:00:29

yossarian - Szczawiożerca

Re: ssh dziura?

#22 2013-03-13 20:03:00

mer - Członek DUG

Re: ssh dziura?

#23 2013-03-13 20:50:36

ArnVaker - Kapelusznik

Re: ssh dziura?

Bitels napisał(-a):