Ir para conteúdo
  • Cadastre-se

Atenção: Exploit Encontrado No Cpanel

Jordan Miguel
 Compartilhar

Posts Recomendados

Jordan Miguel

Jordan Miguel

Postado
Postado

"Attention:

------------------------------
It has recently come to light there is a security exploit that seems to be affecting or targeting Cloud Linux and CentOS systems running cPanel.   This is a very new exploit which we have been investigating over the last few days and working on a solution.  We have been monitoring our managed customers and implementing what we believe to fix the exploit.

You can find more information regarding this recently discovered exploit at  http://www.webhostingtalk.com/showthread.php?t=1235797

Action required:
------------------------------
Our managed cPanel customers need not do anything unless contacted directly by us.  Self managed customers will need to do the following to detect the file in question and correct the exploit:

1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'

Please follow the steps below to clear the expliot.

1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1 libkeyutils.so.1.3
6. Restart ssh
7. yum update kernel and Reboot  to close any active connections

Feel free to open a trouble ticket if you have any questions."

Link para o comentário
Compartilhar em outros sites
chuvadenovembro

chuvadenovembro

Postado
Postado

Vixe

Existe o risco de lascar com tudo fazendo este procedimento?

Pois dei ma lida no tópico e ha bastante duvida sobre isso (se é um exploit ou não)

Além disso, me pareceu que fazer o procedimento não resolve o suposto problema...

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem CPanel e DirectAdmin SSD + SSL Grátis
Link para o comentário
Compartilhar em outros sites
joaopaulo

joaopaulo

Postado
Postado

Vixe

Existe o risco de lascar com tudo fazendo este procedimento?

Pois dei ma lida no tópico e ha bastante duvida sobre isso (se é um exploit ou não)

Além disso, me pareceu que fazer o procedimento não resolve o suposto problema...

 

Também cheguei a mesma conclusão chuva.

 

Bom, o jeito é desabilitar o acesso ssh via password e via DNS, mudar a porta SSH e aguardar o que a cPanel vai dizer a respeito.

Link para o comentário
Compartilhar em outros sites
EuMarcos

EuMarcos

Postado
Postado

O estranho é que o post tem 8 dias e nao tem ninguem falando em nenhum outro local ( eu nao achei)

 

Eu falei com o suporte da cPanel, e me falaram que os desenvolvedores já estão procurando solução a alguns dias. Me falam que esse exploit não é relacionado ao cPanel em si, logo sim ao sistema operacional CentOS/CloudLinuxOS.

Recomendaram estes dois links:

 

http://community.solidshellsecurity.com/topic/27197-sshd-spam-rootkit-lib64libkeyutilsso19/

http://serverfault.com/questions/476954/remove-shared-library-from-sshd

Link para o comentário
Compartilhar em outros sites
Jordan Miguel

Jordan Miguel

Postado
  • Autor
Postado

Afeta qualquer OS baseado em rhel.

 

Para quem tem nodes em openvz, uma forma simples de buscar vpses infectados é utilizando o seguinte comando:

 

find /vz/private/*/lib/ -name "libkeyutils.so.1.9" >> /root/found
find /vz/private/*/lib64/ -name "libkeyutils.so.1.9" >> /root/found
 
Após isto, basta verificar o arquivo /root/found com um "cat /root/found" e você poderá ver o ID da VM e corrigir o problema manualmente.
Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept