Otkriven je SSH daemon rootkit koji može preuzeti kontrolu nad Linux serverima
Poznato je nešto više o načinu djelovanja SSH daemon rootkita koji je otkriven prije nekoliko tjedana.
Prije oko mjesec dana otkriven je SSH daemon rootkit koji može oteti identifikacijske podatke za pristup Linux serveru i time potencijalno preuzeti udaljenu kontrolu nad njim.
Točan način na koji se ovaj zloćudan softver našao na Linux serverima još nije poznat, ali je poznat njegov način djelovanja, te još važnije način na koji se može provjeriti da li je neki server inficiran i kako ga ukloniti sa zaraženog servera.
Ovaj rootkit će na zaraženom serveru zamijeniti standardni libkeyutils s modificiranom verzijom koja u sebi sadrži zloćudni kod. Aktivirani zloćudni kod mijenja ponašanje SSH daemona i sposoban je oteti korisničko ime i lozinku te time efektivno preuzeti kontrolu nad računalom. Preuzeti podatci o korisniku se automatski šalju na udaljeni server. Aktivnosti zloćudnog programa se ne mogu pronaći u logovima servera.
Sam vektor putem kojeg je ovaj zloćudan program dospio na zaraženo računalo na žalost još uvijek nije poznat, ali budući da se ovaj problem intenzivno ispituje za očekivati je da će se i način zaraze uskoro otkriti.
Kako bi provjerili da li je vaš server zaražen zloćudnim programom provjerite integritet libkeyutils librarya. Na rpm serverima se to uradi pomoću rpm naredbe:
rpm -Vv keyutils-libs-1.2-1.el5
Naredba će provjeriti MD5 checksum koji će se za zaražene librarye razlikovati od originala.
Detaljnije o samom rootkitu te preporuke kako se od njega zaštititi i kako ga ukloniti pročitajte na sljedećim poveznicama:
isc.sans ; sucuri.net ; cloudlinux.com
JAKO zabrinut ;( Svi kerneli su u pitanju, svi uredjaji od pocetka linuxa naovamo. Koliko mobitela, koliko Cpanel baziranih servera, VPS’ova… Gadan udarac Linux zajednici u globalu.
Po čemu je to gadan udarac Linux zajednici? Zato što je neki sposoban haker napravio nešto ovakvo? Smiriti malo doživljaje i ne širiti paniku među ljudima.Takvih stvari ima na svakom sustavu,kao i uvijek naći će se rješenje za to a usput možda i poboljšati još nešto u samom sustavu.Serveri prije svega moraju biti dobro podešeni i osigurani od strane administratora da se mogućnost za upade sve na minimum,treba poznavati potencijalne ranjivosti raznih servisa,biti up to date sa patchevima i raditi monitoring.Mnoštvo servera je površno osigurano,pogotovo web servera.Najprije trebaju utvrditi sve puteve kako dolazi do upada u slučaju ovog rootkita,pa onda vidjeti koliko je servera i na koji način u opasnosti.
Gadan udarac obzirom da se vecina Linux baziranih OS-ova koristi za web server. Kazem vecina u totalu. Nezna se kako napad radi. Sto ce admini u tome? REci svima promijenite lozinke ali nemozemo garantirati da se nece dogoditi opet. Da, popravak slijedi, to svakako no problem je u smislu pouzdanosti u produkciji. Nemogu admini reci – nestavljajte nikakve povjerljive podatke na nase servere. Imati lokalo racunalo na nakom OS-u je svakako razlicito od servera za one koji ih koriste u poslovne svrhe. Pristup bilo kojoj bazi koja sjed na bilo kakvom serveru, sa pristupom koji moze mijenjati sto zeli i kako zeli, uzimati podatke iz memorije, karticno poslovanje.
Veiliki je to udarac jer vecina hostinga koja se bazira na cpanelu bi, u teoriji, trebala zaustaviti sve takve sisteme u “produkciji” jer ne garantira sigurnost podataka na Linux OS-u.
Sto se tice mobitela, koji admin? 😉
@Branko: Biti zabrinut i panicariti su dvije stvari. Jako sam zabrinut jer ovako Linux ce zasigurno izgubiti na kredibilitetu koji je upravo u Webhostingu itekako imao, barem onom za novce.
Jos gori je trenutak, tek par tjedana nakon objave o prelasku dijela Njemacke vlade na otvoreni sustav. Kradja identitea i puno drugih stvari mi pada na pamet.
A panika? Nikako! Ne koristim, sreca moja, niti jedan u produkciji niti mi je glava na pladnju ako netko tako pokupi podatke. Pustanje snifera doduse bi moglo predstavljati mali problem. Sa pristupom bilo kakvom bashu otvorenom prema rootu- to je svakako veliki razlog za zabrinutost.
To je samo realizam, nista vise – danas sigurno nebi nikome preporucio da predaci bilo sto na Linux dok se to ne rijesi a to je vec samo po sebi razlog za zabrinutost cijelj zajednici: tjedan dana planetarnog razmisljanja bez rijesenja.
Nekako sam siguran da netko od vodecih proizvodjaca OS sistema ima u tome prste (teorija zavjere) jer nitko iz zajednice nebi bio toliko hmm… lud ;)… da ovo stavi na stol bez rijesenja.
Razloga za zabrinutost ima, nebudi Linic ili Zoki :-p
Pa dobro. Takve se stvari događaju. I toga će još biti.
Ono što je važno je da znamo da zloćudni kod postoji, da znamo kako ga pronaći i najvažnije da znamo kako ga ukloniti i spriječiti reinfekciju.
Detaljnije podatke možeš pronaći na stranicama koje su navedene na dnu članka.
“spriječiti reinfekciju”
Nisam procitao da postoji rijesenje koje brani reinfekciju za sada.
Ako je tome tako onda povlacim sve 😀
Naravno da se desava i uvijek ce se desavati, o tome nema spora – “Nema toga sto svabo moze napravit.. ” 😉
Evo s cPanelovog foruma:
“If there were more information to be shared at this time, I would see to it that it were shared. What I can do personally is recommend steps to help prevent something like this from occurring again (and steps are being taken internally, though that information is internal at this time):
Restrict which hosts can access sshd on your server
Disallow root logins to sshd
Use ssh keys instead of passwords for authentication
Use a wheel or sudo user that can escalate to root privileges after logging in
Use a temporary account with a unique password when providing login information to a third party, and remove the account when the task is complete
As a result of this particular issue, it is imperative to change passwords, and never reuse any of the old passwords again. Additionally, reusing the same password for more than 1 account (no matter what the account is, what server it exists on, what it’s used for, etc) is one of the easiest ways for an attacker to gain access to other resources that you utilize. So, don’t reuse passwords, not for anything.
There are actions being taken at this time which are being tested. Good things take time for proper implementation, review, and testing. I cannot elaborate on this (yet, anyway), but changes are being made accordingly. More info to come.”
Da, to sam procitao. No prema Bojanu na isc (a i nekim drugim izvorima), radi se o vec postojecem softweru koji radi injection te tako mapira memorijsku alokaciju te radi dump u fajl.
Nije problem ocistiti sistem vec sa sigurnoscu reci da je uzrok infiltracije bla bla bla – pada mi na pamet famozni SQL injection nacin za vindoze kao jedan od slicnih pristupa prije par godina.
Mazati oci da je ovo samo “neznatan” problemcic, gasenje pristupa ssh (koji ozbiljan CPanel hoster to uopce daje svojim korinicima?)
“The rootkit does, however, hook the PEM_write_RSAPrivateKey and PEM_write_DSAPrivateKey functions, which are used to dump the private key into a file. I’m not sure when this is used yet, but it is possible that they maybe also hook libraries of the ssh-keygen utility, which is used for generation of RSA/DSA keys, and is also linked with the libkeyutils library.”
Libkey nikako nije neki tamo library vec poprilicno bitan sastojak unutar bilo kojeg sistema kojem je sigurnost i integritet podata bitan. Mijenjati prema md5 je naravno moguce no to je ciscenje nakon infekcije.
Tvoj citat nazalost nije rijesenje vec reakcija “ako se desi”. Moja inicijalna zabrinutost je da se ne zna na koji nacin se to ostvarilo i usmjereno je direktno prema Kernelu a ne distribuciji.
Nazalost, kuzim o cemu se prica i kuzim da to sto je prijavljeno je nesto sto itekako utjece na kredibilitet, nesto kao RSA-key kradja jednog velikog security proizvodjaca (da ne imenujem) prije kojih dvije godine.
A zanima me i tko mi stalno lijepi negative 😀
Dežurna ekipa koja je za to “zadužena”. Ništa ozbiljno i veliko. Nemoraš se ni obazirati na to.
Ja ne vidim razlog da se napada americhanca… Rekao je istinu. Ne paničari, ali je zabrinut. I ja sam zabrinut. Svi bismo trebali biti zabrinuti zbog ovoga… Upitno je koliko je admin nekog sustava dovoljno savjestan i spretan da učini korake koje je Branko naveo. Uostalom, još je više zabrinjavajuće da korisnik mora brinuti o sigurnosti softwarea kojeg nije napisao, a priznajmo to se od njega ne bi trebalo niti tražiti…
americhanac ne brini za “negative”, uvijek ih je bilo i uvijek će ih biti (s razlogom ili bez razloga). Oni nisu ni u kom slučaju mjerilo objektivnosti, nego najčešće subjektivnosti i kolektivnog mišljenja (razmišljanja).
Ne vidim razloga zasto bi ti netko trebao zalijepiti negativnu ocjenu.
Realno sagledavas problem i shvatio si da se ne radi o beznacajnoj stvari. Na zalost, ne razumijem dovoljno cijelu problematiku vec sam ti naljepio onaj odgovor koji mi se cinio kao dobra prevencija infekcije. Shvatio sam da nije to bas najsretnije rjesenje i da ce pravo rjesenje tek biti dostupno kada se pronadje nacin na koji je zlocudni kod dospio na server.
Koliko vidim, vecina je ovaj problem shvatila jako ozbiljno i svim silama ga rjesavaju. Vjerujem da imamo dovoljno kvalitetnih ljudi koji ce ovaj problem rijesiti i da ce Linux i dalje biti kvalitetna i sigurna platforma.
@Suko
možda netko od dežurnih kritičara, lajkača, djeljitelja (nazovi kako hoćeš ) se javi i objasni zašto voli šetati okolo portalom i ljudima ljepiti minuse.
Nije ovo ni prvi ni zadnji slučaj. Pa nedavno našli rootkitove i trojan libove u Ubuntu software centru, Gentoo repozitorijima, Debian backportovima, Ubuntu ppa, Arch sa AUR-a uklonik sumnjive pakete.
Ne treba biti uplasen. Na ovom radi hrpa ljudi i pitanje je dana kada ce se ovaj problem rijesiti.
Takvih stvari ce uvijek biti. Niti jedan operativni sustav nije imun na zlocudni softver.
Malo OT, ali koja je ono svrha ocjenjivanja komentara? Dosad se pokazalo kao loša ideja.
“Niti jedan operativni sustav nije imun na zlocudni softver.”
S tom razlikom da OS-evi poput GNU/Linuxa i FreeBSD-a su otporniji na malicioznost zbog otvorenosti platforme, ne oslanjaju se na “security through obscurity” filozofiju.
GNU/Linux radi svojih specifićnosti za krajnjeg korisnika je vrlo malo sklon zarazi tipičnoj za Windows računala.
Ne bih se složio s tobom 😛
Ako je kod otvoren, lakše mu ja naći mane i propuste (a potom ih iskoristiti ili ispraviti; ovisno jeste li cracker ili hacker). Važan faktor u sigurnosti *nix like OS, jest potreba za rootom… Naime, na Windowsima možete, ali ne morate napraviti Administratorski račun pri instalaciji. dok na *nixoidima root je obavezan. Još jedna prednost takvih sustava je relativna nerasprostranjenost (mislim, koliki postotak ljudi koristi neki *nix?). Budući da su naše voljene platforme iz dana u dan sve popularnije, ne bi me čudilo da u konačnici primjetimo i rast broja zloćudnih programa za te iste platforme.
Ovo je, naravno, moje mišljenje a ne činjenica 😉