Wurzelkompromisse aufspüren [geschlossen]

In Bezug auf Folgendes:

http://blog.solidshellsecurity.com/2013/02/18/0day-linuxcentos-sshd-spam-exploit-libkeyutils-so-1-9/ http://www.reddit.com/r/netsec/comments/ 18ro3c / sshd_rootkit /

Anscheinend gibt es eine Reihe von Redhat-Servern, die über eine Bibliothek durch Hintertüren überwacht werden. Hat jemand einen Rat, wie man den ersten Kontaktbruch aufspürt und findet?

— Code der roten Linie
quelle

Möglicherweise erhalten Sie auf unserer Schwestersite Informationssicherheit bessere Antworten auf diese Frage . Lesen Sie unbedingt die häufig gestellten Fragen (FAQ) und suchen Sie nach früheren Fragen zu diesem Problem.

— Michael Hampton

Wie pro die links:

Msgstr "Klingt eher so, als würden sie über PHP und anschließend über eine fehlerhafte Bibliothek von sshd zurückkehren, sobald sie root haben. Der anfängliche Angriffsvektor ist keine Sicherheitslücke in sshd.

Nach weiterem Lesen scheint Konsens darüber zu bestehen, dass der erste Angriff über cpanel auf schlecht gesicherten Rechnern erfolgt. Nur 64-Bit-Maschinen erhalten das von hinten gestartete sshd, was über /lib64/libkeyutils.so.1.9 erfolgt, was sonst auf dem System nicht vorhanden sein sollte. "

Nun ist es ein Rätsel, warum PHP-basierte Sicherheitslücken den Root-Zugriff ermöglichen. Möglicherweise wurde Apache mit Root-Rechten ausgeführt und daher wurden auch PHP-Dateien mit ähnlichem Zugriff ausgeführt. Sofern Sie PHP / Apache nicht mit Root-Rechten ausführen, sollten Sie sich keine Sorgen machen. Wie vorgeschlagen, können mit den Befehlen "rpm -qf /lib/libkeyutils.so.1.9" überprüft werden, ob Sie betroffen sind oder nicht.

— Saurabh Barjatiya
quelle

Ich müsste betteln, um mich zu unterscheiden. Wenn PHP auf über 1000 Rechnern die Ursache ist, bedeutet dies, dass noch mehr Fehler vorliegen, insbesondere auf Systemen, auf denen die neuesten Kernel ausgeführt werden. Dies ist ein Service-Exploit

— Tiffany Walker