Problemas De Segurança Com O Sshd

[JvServers]

Bom dia. Encontrei isso em alguns foruns gringos pela manhã, e como não vi nada parecido aqui na área de segurança, resolvi compartilhar com vocês.

Alguns dias atrás foi descoberto uma vulnerabilidade no SSHD, aparentemente em SOs derivados do redhat, onde um arquivo localizado em /lib64 é utilizado para capturar senhas de shell, além de enviar spam. Vi pela primeira vez no fórum cPanel, depois em outros foruns. Vou postar também um script (feito pelo egillete do wht) utilizado para verificar se o seu SO está infectado, lembrando que também pode verificar manualmente, verificando a existencia do arquivo /lib64/libkeyutils.so.1.9 (no caso de so 64bits) ou de /lib64/libkeyutils.so.1.3 (32 bits). Atualmente a vulnerabilidade está em pesquisa no WHT-eua, iniciada pelo Steven do Rack911.

Script de verificação: http://www.ericgillette.com/clients/exploit-cleanup

O exploit parece linkar o libkeyutils.1.9/1.3 a sua conexão ssh quando essa é feita, e envia pela porta 53, udp.

Não tenho certeza se posso postar o tópico da discussão, ja que está em um fórum gringo, se puder, me avisem que posto o link completo.

Fontes: Fórum cPanel: http://forums.cpanel.net/f185/sshd-rootkit-323962.html

créditos ao script verificador: egillete (http://www.ericgillette.com/)

[chuvadenovembro]

Recebi um email hoje da Wiredtree a respeito deste assunto:

 

 

 

Dear Valued WiredTree Customer,



I am writing you tonight to inform you that we have disabled access to

port 22 (default SSH port) on your server as temporary precautionary

security measure. Our security team has good reason to believe there is

a root-level exploit in the wild for RedHat/CentOS servers as

compromises have been reported on WebHostingTalk, Reddit, as well as on

our own network and at other providers we have talked to. There have

been a number of similarities in the attacks and that is why we have

decided it is best to block this port temporarily until the attack

vector is determined. If you require SSH or SFTP access, we can set it up for

you on an alternate port if you open a Grove ticket. We understand this sudden

change is an inconvenience and interruption to your work flow, but we

believe it is in the best interest of your server's security at this time.



We are watching this issue closely and will be taking further

precautionary or preventative measures if needed. Again, we are deeply

sorry for the inconvenience. If you require SSH or SFTP access and you were

using it on port 22 (if you never changed it, this is what it would be)

we can change the port and restore access for you if you open a ticket.

We will roll out updates as soon as they are available.



If you have any questions, please let us know via Grove ticket.



Thank you,

Joe

[JvServers]

Sim, já chequei todos meus servidores, não achei em nenhum deles, mas ainda assim estou com um pé atrás quanto a isso. Li em algum lugar que o csf está detectando esse exploit de alguns forma, vou dar uma pesquisada e caso encontre algo eu posto aqui

[Jesmarcelo]

Atualizem o CSF, ele já faz uma verificação de segurança quanto a isso....

[JvServers]

Boa onze. atualizei aqui, quando vim postar pro pessoal, você foi mais rapido que eu.. rs.. Ja sabem algo mais sobre esse rootkit? tipo de onde saiu ou se acharam alguma variação em derivados do debian? até onde eu havia lido ele permanecia meio em mistério

Obrigado :-)

[chuvadenovembro]

Atualizem o CSF, ele já faz uma verificação de segurança quanto a isso....

 

Não sei se tu tava prevendo o futuro hehehe

 

Mas pra mim, só saiu hoje este recurso.

 

5.79 - Modified csf error routine to store failing error in csf.error and

         display an instructional message

     Check for libkeyutils-1.2.so.2 in LF_EXPLOIT option SSHDSPAM

     Modified the Server Report proxysubdomains check on cPanel servers

     Added new options CC_DENY_PORTS, CC_DENY_PORTS_TCP,
     CC_DENY_PORTS_UDP. This feature denies access from the countries
     listed in CC_DENY_PORTS to listed TCP/UDP ports. For example, using
     this FTP access port 21 could be blocked to only the specified
     countries

 

E com essa atualização acredito que acrescenta estas opções:

 

# System Exploit Checking. This option is designed to perform a series of tests

# to send an alert in case a possible server compromise is detected

#

# To enable this feature set the following to the checking interval in seconds

# (a value of 300 would seem sensible).

#

# To disable set to "0"

LF_EXPLOIT = Default: 300 [0 or 6-86400]

# This comma separated list allows you to ignore tests LF_EXPLOIT performs

#

# For the SUPERUSER check, you can list usernames in csf.suignore to have them

# ignored for that test

#

# Valid tests are:

# SUPERUSER,SSHDSPAM

#

# If you want to ignore a test add it to this as a comma separated list, e.g.

# "SUPERUSER,SSHDSPAM"

LF_EXPLOIT_IGNORE =

[Jesmarcelo]

5.76 - Only add the /128 IPv6 bound address per NIC instead of the whole /64
to the local IPv6 addresses

     Modify SSHD and SU regexes to allow for empty hostname field in log
     file

     Added new option UNBLOCK_REPORT. This option will run an external
     script when a temporary block is unblocked

     Additional entries in csf.logignore on new installations

     Switched from using the iptables state module to using the conntrack
     module in preparation of the formers obsolescence

     Removed LF_EXPLOIT_CHECK and replaced it with LF_EXPLOIT_IGNORE so
     that new tests can be easily added and then ignored desired

     Added new LF_EXPLOIT check SSHDSPAM to check for the existence of
     /lib64/libkeyutils.so.1.9 or /lib/libkeyutils.so.1.9, See:
     http://www.webhostingtalk.com/showthread.php?t=1235797

[chuvadenovembro]

5.76 - Only add the /128 IPv6 bound address per NIC instead of the whole /64

to the local IPv6 addresses

     Modify SSHD and SU regexes to allow for empty hostname field in log

     file

     Added new option UNBLOCK_REPORT. This option will run an external

     script when a temporary block is unblocked

     Additional entries in csf.logignore on new installations

     Switched from using the iptables state module to using the conntrack

     module in preparation of the formers obsolescence

     Removed LF_EXPLOIT_CHECK and replaced it with LF_EXPLOIT_IGNORE so

     that new tests can be easily added and then ignored desired

     Added new LF_EXPLOIT check SSHDSPAM to check for the existence of

     /lib64/libkeyutils.so.1.9 or /lib/libkeyutils.so.1.9, See:

     http://www.webhostingtalk.com/showthread.php?t=1235797

 

Nem tinha visto esse ae heheheh