Jordan Miguel Posted February 16, 2013 Share Posted February 16, 2013 "Attention: ------------------------------ It has recently come to light there is a security exploit that seems to be affecting or targeting Cloud Linux and CentOS systems running cPanel. This is a very new exploit which we have been investigating over the last few days and working on a solution. We have been monitoring our managed customers and implementing what we believe to fix the exploit. You can find more information regarding this recently discovered exploit at http://www.webhostingtalk.com/showthread.php?t=1235797 Action required: ------------------------------ Our managed cPanel customers need not do anything unless contacted directly by us. Self managed customers will need to do the following to detect the file in question and correct the exploit: 1. SSH to server 2. Run 'updatedb' 3. Run 'locate libkeyutils.so.1.9' Please follow the steps below to clear the expliot. 1. SSH to the server 2. cd /lib64/ 3. rm libkeyutils.so.1.9 4. rm libkeyutils.so.1 5. ln -s libkeyutils.so.1 libkeyutils.so.1.3 6. Restart ssh 7. yum update kernel and Reboot to close any active connections Feel free to open a trouble ticket if you have any questions." Link to comment Share on other sites More sharing options...
chuvadenovembro Posted February 16, 2013 Share Posted February 16, 2013 Vixe Existe o risco de lascar com tudo fazendo este procedimento? Pois dei ma lida no tópico e ha bastante duvida sobre isso (se é um exploit ou não) Além disso, me pareceu que fazer o procedimento não resolve o suposto problema... Link to comment Share on other sites More sharing options...
joaopaulo Posted February 16, 2013 Share Posted February 16, 2013 Vixe Existe o risco de lascar com tudo fazendo este procedimento? Pois dei ma lida no tópico e ha bastante duvida sobre isso (se é um exploit ou não) Além disso, me pareceu que fazer o procedimento não resolve o suposto problema... Também cheguei a mesma conclusão chuva. Bom, o jeito é desabilitar o acesso ssh via password e via DNS, mudar a porta SSH e aguardar o que a cPanel vai dizer a respeito. Link to comment Share on other sites More sharing options...
maksol Posted February 16, 2013 Share Posted February 16, 2013 O estranho é que o post tem 8 dias e nao tem ninguem falando em nenhum outro local ( eu nao achei) Link to comment Share on other sites More sharing options...
EuMarcos Posted February 16, 2013 Share Posted February 16, 2013 O estranho é que o post tem 8 dias e nao tem ninguem falando em nenhum outro local ( eu nao achei) Eu falei com o suporte da cPanel, e me falaram que os desenvolvedores já estão procurando solução a alguns dias. Me falam que esse exploit não é relacionado ao cPanel em si, logo sim ao sistema operacional CentOS/CloudLinuxOS. Recomendaram estes dois links: http://community.solidshellsecurity.com/topic/27197-sshd-spam-rootkit-lib64libkeyutilsso19/ http://serverfault.com/questions/476954/remove-shared-library-from-sshd Link to comment Share on other sites More sharing options...
maksol Posted February 16, 2013 Share Posted February 16, 2013 Pelo link que passou afeta o CEntos 6.3 correto? Link to comment Share on other sites More sharing options...
Jordan Miguel Posted February 19, 2013 Author Share Posted February 19, 2013 Afeta qualquer OS baseado em rhel. Para quem tem nodes em openvz, uma forma simples de buscar vpses infectados é utilizando o seguinte comando: find /vz/private/*/lib/ -name "libkeyutils.so.1.9" >> /root/found find /vz/private/*/lib64/ -name "libkeyutils.so.1.9" >> /root/found Após isto, basta verificar o arquivo /root/found com um "cat /root/found" e você poderá ver o ID da VM e corrigir o problema manualmente. Link to comment Share on other sites More sharing options...
Recommended Posts