Importante: SSHD Rootkit atacando servidores

Hola

Escribo esto para alertar a toda la comunidad sobre un SSHD Rootkit que esta infestando a miles de servidores alrededor del mundo.

Todos los administradores deberíamos chequear inmediatamente nuestros servidores:

mas info en webhostingtalk.com en la sección "Hosting Security and Technology" en el hilo " [FEATURED]
SSHD Rootkit Rolling around" (no puedo publicar enlaces todavía)




---------------

Yo recibí esto de la empresa donde tengo mi servidor (Wiredtree):

Dear Valued WiredTree Customer,



I am writing you tonight to inform you that we have disabled access to

port 22 (default SSH port) on your server as temporary precautionary

security measure. Our security team has good reason to believe there is

a root-level exploit in the wild for RedHat/CentOS servers as

compromises have been reported on WebHostingTalk, Reddit, as well as on

our own network and at other providers we have talked to. There have

been a number of similarities in the attacks and that is why we have

decided it is best to block this port temporarily until the attack

vector is determined. If you require SSH or SFTP access, we can set it up for

you on an alternate port if you open a Grove ticket. We understand this sudden

change is an inconvenience and interruption to your work flow, but we

believe it is in the best interest of your server's security at this time.



We are watching this issue closely and will be taking further

precautionary or preventative measures if needed. Again, we are deeply

sorry for the inconvenience. If you require SSH or SFTP access and you were

using it on port 22 (if you never changed it, this is what it would be)

we can change the port and restore access for you if you open a ticket.

We will roll out updates as soon as they are available.



If you have any questions, please let us know via Grove ticket.



Thank you,

Joe

-----------------------

Espero que les sea útil.

roberto

 

Nos enteramos hace varios días sobre esto. Afecta a servidores cPanel/WHM al parecer únicamente. Con nuestros servidores no hubo problemas por suerte

Dejo el link al topic de WHT por si a alguien le interesa: http://www.webhostingtalk.com/showthread.php?t=1235797

Saludos.

Edit: volví a revisar el post de WHT, parece que está causando estragos.

 

hmm no, al parecer también servidores con DA y Plesk

 

Sí, es posible, dije lo anterior basándome en lo que había leído hace dos semanas

Saludos.

 

voy re visar mis versiones de csf, para si es necesario actualizar :S.

Saludos.

 

Hola,

En ese mensaje dice que hay que deshabilitar el puerto 22 del SSH con cambiarlo por otro mayor supongo que bastaría aunque ya lo han realizado ellos mismos según dicen en dicho mensaje.

Salu2,

 

Configúralo para actualización automática

 

Según el tema en wht, el problema ha sucedido también con servidores que usan diferente puerto.

Nunca he sido partidario que algo se actualice sin que sepa que cambios trae... Por lo general son buenos, pero a veces son más dolores de cabeza que soluciones... (y según leí, la versión 5.76 le provocó problemas a un usuario).

Lo ideal sería estar al tanto de las actualizaciones para decidir si actualizar, o inclusive y si no estás seguro, pedir referencias de qué tal funciona (opinión personal ).

 

Yo ya tengo a todos mis clientes actualizados, ayer fue el último ya que recibí tarde la autorización para hacer los cambios necesarios en sus servers/vps pero ya estamos OK.

Ahora al sobre... saludos!

 

Yo uso el fail2ban para protegerme de los ataques a ssh funciona realmente bien. He configurado un script para que se publique en twitter twitter.com/ticsistemas_log y así estoy atento. El bloqueo por iptables es de 15 minutos, suficiente para mi, pero no es difícil poner que el bloqueo sea de un día, eso si seria para todas las reglas que configures.

He probado muchos sistemas y este sin duda es el más sencillo y más eficiente , por que con netstat que se comenta mucho aveces no devuelve bien la IP.

 

Estimados,

Según lo que indican en http://www.webhostingtalk.com/showthread.php?t=1235797 sobre eliminar el archivo libkeyutils.so.1.9 "Removing this file may be a temporary fix" creo no ser la mejor solución, yo lo que hize fue renombrar el archivo libkeyutils.so.1.9 y apache se cayo inmediatamente "Internal Server Error" entonces creo que borrandolo podria ser mas riesgoso, alguien tiene otra solución ?

 

aqui tienes como verificar si estas infectado, como limpiarlo y como evitar la infección
http://www.cloudlinux.com/blog/clnews/sshd-exploit.php

Cortesia de Cloudlinux

 

Excelente !

Cannot find compromised library

Por un momento pense que el libkeyutils.so@ que tengo era el bicho