Ir para conteúdo
  • Cadastre-se

Atenção: Exploit Encontrado No Cpanel


Posts Recomendados

"Attention:

------------------------------
It has recently come to light there is a security exploit that seems to be affecting or targeting Cloud Linux and CentOS systems running cPanel.   This is a very new exploit which we have been investigating over the last few days and working on a solution.  We have been monitoring our managed customers and implementing what we believe to fix the exploit.

You can find more information regarding this recently discovered exploit at  http://www.webhostingtalk.com/showthread.php?t=1235797

Action required:
------------------------------
Our managed cPanel customers need not do anything unless contacted directly by us.  Self managed customers will need to do the following to detect the file in question and correct the exploit:

1. SSH to server
2. Run 'updatedb'
3. Run 'locate libkeyutils.so.1.9'

Please follow the steps below to clear the expliot.

1. SSH to the server
2. cd /lib64/
3. rm libkeyutils.so.1.9
4. rm libkeyutils.so.1
5. ln -s libkeyutils.so.1 libkeyutils.so.1.3
6. Restart ssh
7. yum update kernel and Reboot  to close any active connections

Feel free to open a trouble ticket if you have any questions."

Link para o comentário
Compartilhar em outros sites

Vixe

Existe o risco de lascar com tudo fazendo este procedimento?

Pois dei ma lida no tópico e ha bastante duvida sobre isso (se é um exploit ou não)

Além disso, me pareceu que fazer o procedimento não resolve o suposto problema...

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis
Link para o comentário
Compartilhar em outros sites

Vixe

Existe o risco de lascar com tudo fazendo este procedimento?

Pois dei ma lida no tópico e ha bastante duvida sobre isso (se é um exploit ou não)

Além disso, me pareceu que fazer o procedimento não resolve o suposto problema...

 

Também cheguei a mesma conclusão chuva.

 

Bom, o jeito é desabilitar o acesso ssh via password e via DNS, mudar a porta SSH e aguardar o que a cPanel vai dizer a respeito.

Link para o comentário
Compartilhar em outros sites

O estranho é que o post tem 8 dias e nao tem ninguem falando em nenhum outro local ( eu nao achei)

 

Eu falei com o suporte da cPanel, e me falaram que os desenvolvedores já estão procurando solução a alguns dias. Me falam que esse exploit não é relacionado ao cPanel em si, logo sim ao sistema operacional CentOS/CloudLinuxOS.

Recomendaram estes dois links:

 

http://community.solidshellsecurity.com/topic/27197-sshd-spam-rootkit-lib64libkeyutilsso19/

http://serverfault.com/questions/476954/remove-shared-library-from-sshd

Link para o comentário
Compartilhar em outros sites

Afeta qualquer OS baseado em rhel.

 

Para quem tem nodes em openvz, uma forma simples de buscar vpses infectados é utilizando o seguinte comando:

 

find /vz/private/*/lib/ -name "libkeyutils.so.1.9" >> /root/found
find /vz/private/*/lib64/ -name "libkeyutils.so.1.9" >> /root/found
 
Após isto, basta verificar o arquivo /root/found com um "cat /root/found" e você poderá ver o ID da VM e corrigir o problema manualmente.
Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novos posts.
  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?