Jump to content

Atenção: Exploit Encontrado No Cpanel


Recommended Posts

"Attention:

------------------------------
It has recently come to light there is a security exploit that seems to be affecting or targeting Cloud Linux and CentOS systems running cPanel.   This is a very new exploit which we have been investigating over the last few days and working on a solution.  We have been monitoring our managed customers and implementing what we believe to fix the exploit.

You can find more information regarding this recently discovered exploit at  http://www.webhostingtalk.com/showthread.php?t=1235797

Action required:
------------------------------
Our managed cPanel customers need not do anything unless contacted directly by us.  Self managed customers will need to do the following to detect the file in question and correct the exploit:

1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'

Please follow the steps below to clear the expliot.

1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1 libkeyutils.so.1.3
6. Restart ssh
7. yum update kernel and Reboot  to close any active connections

Feel free to open a trouble ticket if you have any questions."

Link to comment
Share on other sites

Vixe

Existe o risco de lascar com tudo fazendo este procedimento?

Pois dei ma lida no tópico e ha bastante duvida sobre isso (se é um exploit ou não)

Além disso, me pareceu que fazer o procedimento não resolve o suposto problema...

 

Também cheguei a mesma conclusão chuva.

 

Bom, o jeito é desabilitar o acesso ssh via password e via DNS, mudar a porta SSH e aguardar o que a cPanel vai dizer a respeito.

Link to comment
Share on other sites

O estranho é que o post tem 8 dias e nao tem ninguem falando em nenhum outro local ( eu nao achei)

 

Eu falei com o suporte da cPanel, e me falaram que os desenvolvedores já estão procurando solução a alguns dias. Me falam que esse exploit não é relacionado ao cPanel em si, logo sim ao sistema operacional CentOS/CloudLinuxOS.

Recomendaram estes dois links:

 

http://community.solidshellsecurity.com/topic/27197-sshd-spam-rootkit-lib64libkeyutilsso19/

http://serverfault.com/questions/476954/remove-shared-library-from-sshd

Link to comment
Share on other sites

Afeta qualquer OS baseado em rhel.

 

Para quem tem nodes em openvz, uma forma simples de buscar vpses infectados é utilizando o seguinte comando:

 

find /vz/private/*/lib/ -name "libkeyutils.so.1.9" >> /root/found
find /vz/private/*/lib64/ -name "libkeyutils.so.1.9" >> /root/found
 
Após isto, basta verificar o arquivo /root/found com um "cat /root/found" e você poderá ver o ID da VM e corrigir o problema manualmente.
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...