| Уже третий день в Сети фиксируются массовые взломы серверов с ОС Linux. Вероятно, злоумышленники используют уязвимость "нулевого дня", не исправленную до сих пор в некоторых релизах. Отмечены взломы систем и на CentOS, а также прочих дистрибутивов на основе RHEL 5 и 6, даже с полным пакетом обновлений. Пока неясно, имеет ли значение используемая на сервере панель управления, так как все случаи фиксируются на cPanel, Plesk, DirectAdmin и ISP config. Вложение 8451 При проведении атаки в системе создается файл /lib64/libkeyutils.so.1.9 (для 32-разрядных систем размерность не указывается - /lib/libkeyutils.so.1.9), а процесс sshd начинает проявлять подозрительную активность. В частности, вход на взломанный сервер по ssh отправляет дубль отправленной информации о логине и пароле по UDP на порт 53 внешнего хоста. Также сервер становится частью ботнета, помогая во взломе других систем или же занимаясь рассылкой спама. Скорее всего, атака не связана с уязвимостью в ядре Linux, сохраненной под сокращением CVE-2013-0871, так как имеют место случаи взлома изолированных окружений с усиленной защитой от эксплуатации уязвимостей, обеспечивающих повышение привилегий. В списке пострадавших также числятся серверы с sshd на отличном от стандартного порту и сервера с системой обновления ядра ksplice. Вся деятельность атакующих вычищается из логов, однако один из пользователей сумел при помощи snoopy провести анализ действий хакеров. Выявить факт взлома просто - нужно лишь проверить на существование библиотеку /lib64/libkeyutils.so.1.9 и убедиться в отсутствии связей с установленными пакетами. |
|