"Attention:

------------------------------
It has recently come to light there is a security exploit that seems to be affecting or targeting Cloud Linux and CentOS systems running cPanel.   This is a very new exploit which we have been investigating over the last few days and working on a solution.  We have been monitoring our managed customers and implementing what we believe to fix the exploit.

You can find more information regarding this recently discovered exploit at  http://www.webhostingtalk.com/showthread.php?t=1235797

Action required:
------------------------------
Our managed cPanel customers need not do anything unless contacted directly by us.  Self managed customers will need to do the following to detect the file in question and correct the exploit:

1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'

Please follow the steps below to clear the expliot.

1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1 libkeyutils.so.1.3
6. Restart ssh
7. yum update kernel and Reboot  to close any active connections

Feel free to open a trouble ticket if you have any questions."

Vixe

Existe o risco de lascar com tudo fazendo este procedimento?

Pois dei ma lida no tópico e ha bastante duvida sobre isso (se é um exploit ou não)

Além disso, me pareceu que fazer o procedimento não resolve o suposto problema...

Vixe

Existe o risco de lascar com tudo fazendo este procedimento?

Pois dei ma lida no tópico e ha bastante duvida sobre isso (se é um exploit ou não)

Além disso, me pareceu que fazer o procedimento não resolve o suposto problema...

 

Também cheguei a mesma conclusão chuva.

 

Bom, o jeito é desabilitar o acesso ssh via password e via DNS, mudar a porta SSH e aguardar o que a cPanel vai dizer a respeito.

O estranho é que o post tem 8 dias e nao tem ninguem falando em nenhum outro local ( eu nao achei)

O estranho é que o post tem 8 dias e nao tem ninguem falando em nenhum outro local ( eu nao achei)

 

Eu falei com o suporte da cPanel, e me falaram que os desenvolvedores já estão procurando solução a alguns dias. Me falam que esse exploit não é relacionado ao cPanel em si, logo sim ao sistema operacional CentOS/CloudLinuxOS.

Recomendaram estes dois links:

 

http://community.solidshellsecurity.com/topic/27197-sshd-spam-rootkit-lib64libkeyutilsso19/

http://serverfault.com/questions/476954/remove-shared-library-from-sshd

Pelo link que passou afeta o CEntos 6.3 correto?

Afeta qualquer OS baseado em rhel.

 

Para quem tem nodes em openvz, uma forma simples de buscar vpses infectados é utilizando o seguinte comando:

 

find /vz/private/*/lib/ -name "libkeyutils.so.1.9" >> /root/found

find /vz/private/*/lib64/ -name "libkeyutils.so.1.9" >> /root/found

 

Após isto, basta verificar o arquivo /root/found com um "cat /root/found" e você poderá ver o ID da VM e corrigir o problema manualmente.