In Bezug auf Folgendes:
http://blog.solidshellsecurity.com/2013/02/18/0day-linuxcentos-sshd-spam-exploit-libkeyutils-so-1-9/ http://www.reddit.com/r/netsec/comments/ 18ro3c / sshd_rootkit /
Anscheinend gibt es eine Reihe von Redhat-Servern, die über eine Bibliothek durch Hintertüren überwacht werden. Hat jemand einen Rat, wie man den ersten Kontaktbruch aufspürt und findet?
Antworten:
Wie pro die links:
Msgstr "Klingt eher so, als würden sie über PHP und anschließend über eine fehlerhafte Bibliothek von sshd zurückkehren, sobald sie root haben. Der anfängliche Angriffsvektor ist keine Sicherheitslücke in sshd.
Nach weiterem Lesen scheint Konsens darüber zu bestehen, dass der erste Angriff über cpanel auf schlecht gesicherten Rechnern erfolgt. Nur 64-Bit-Maschinen erhalten das von hinten gestartete sshd, was über /lib64/libkeyutils.so.1.9 erfolgt, was sonst auf dem System nicht vorhanden sein sollte. "
Nun ist es ein Rätsel, warum PHP-basierte Sicherheitslücken den Root-Zugriff ermöglichen. Möglicherweise wurde Apache mit Root-Rechten ausgeführt und daher wurden auch PHP-Dateien mit ähnlichem Zugriff ausgeführt. Sofern Sie PHP / Apache nicht mit Root-Rechten ausführen, sollten Sie sich keine Sorgen machen. Wie vorgeschlagen, können mit den Befehlen "rpm -qf /lib/libkeyutils.so.1.9" überprüft werden, ob Sie betroffen sind oder nicht.
quelle