[lis-enka]

Уже третий день в Сети фиксируются массовые взломы серверов с ОС Linux. Вероятно, злоумышленники используют уязвимость "нулевого дня", не исправленную до сих пор в некоторых релизах. Отмечены взломы систем и на CentOS, а также прочих дистрибутивов на основе RHEL 5 и 6, даже с полным пакетом обновлений. Пока неясно, имеет ли значение используемая на сервере панель управления, так как все случаи фиксируются на cPanel, Plesk, DirectAdmin и ISP config.

Вложение 8451

При проведении атаки в системе создается файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем размерность не указывается - /lib/libkeyutils.so.1.9), а процесс sshd начинает проявлять подозрительную активность. В частности, вход на взломанный сервер по ssh отправляет дубль отправленной информации о логине и пароле по UDP на порт 53 внешнего хоста. Также сервер становится частью ботнета, помогая во взломе других систем или же занимаясь рассылкой спама.

Скорее всего, атака не связана с уязвимостью в ядре Linux, сохраненной под сокращением CVE-2013-0871, так как имеют место случаи взлома изолированных окружений с усиленной защитой от эксплуатации уязвимостей, обеспечивающих повышение привилегий. В списке пострадавших также числятся серверы с sshd на отличном от стандартного порту и сервера с системой обновления ядра ksplice. Вся деятельность атакующих вычищается из логов, однако один из пользователей сумел при помощи snoopy провести анализ действий хакеров.

Выявить факт взлома просто - нужно лишь проверить на существование библиотеку /lib64/libkeyutils.so.1.9 и убедиться в отсутствии связей с установленными пакетами.

[Гендальф Серый]

Пфффф, это смешно. Это насколько нужно неряшливо следить за демонами на CentOS, чтобы дойти до такого. Это раз.
ЛОГИ! Где логи, %username%? Ну ктоооо, скажите, ктоооо хранит логи сервера на самом сервере? Есть же специальные бекап-серваки, есть специальные архиваторы да ещё куча всего.
Короче, ребята, это - смешно.