Jump to content
Sign in to follow this  
DanyXP

ROOTKIT SSHD - Security Advisor

Recommended Posts

Ricevuto da Parallels questa notifica molto importante che non riguarda soltanto i sistemi Plesk.

 

[h=1]SECURITY ADVISORY FOR LINUX-BASED SSHD-ENABLED SYSTEMS[/h]Parallels Customer,

Please read this message in its entirety and take the recommended actions.

[h=1]Situation[/h]External: Recent reports indicate a vulnerability for SSHD-enabled systems. This issue is not related to Parallels products as all SSHD-enabled systems are at risk.

Parallels takes the security of our customers very seriously and urges you to act quickly by making security checks.

[h=1]Impact[/h]Possible adverse impact includes:

 

  • Passwords and SSH keys exposed
  • Backdoor opened to server access
  • Server sends out spam emails

[h=1]Parallels Products Impacted[/h]While the issue is not related to Parallels products directly the following Parallels products may be impacted on SSHD-enabled systems:

 

  • Parallels Plesk Panel for Linux
  • Parallels Cloud Server
  • Parallels Virtuozzo Containers for Linux
  • Parallels Server Bare Metal

[h=1]Solution[/h]For additional information including recommended actions to take, please read this knowledge base article.

You can also subscribe to our support emails by clicking here, subscribe to our RSS feed here and add our Knowledge Base browser plug-in here.

Parallels takes the security of our customers very seriously and encourages you to take the recommended actions as soon as possible.

 

 

 

 

 

Il problema sembra essere piuttosto GRAVE e da risolvere quanto prima.

 

Vi riporto a tal proposito questa discussione (ormai diventata un fiume di 100 pagine) su webhostingtalk.

 

SSHD Rootkit Rolling around - Web Hosting Talk

 

 

 

 

 

Vorrei sapere se qualcuno ne sa qualcosa di più, come limitare l'accesso ssh via plesk o cosa c'è concretamente da fare perchè da quello che ho letto finora pare sia tutto ancora piuttosto "fumoso".

Share this post


Link to post
Share on other sites

Il fatto è questo: CPanel ha subito la violazione di uno dei server utilizzati dal reparto supporto tecnico. Ci sono grosse probabilità che sia nato tutto da lì.

Le password di root di chissà quante macchine sono beatamente in giro nelle mani di chissà chi.

 

L'annuncio di sicurezza non si riferisce ad un pannello di controllo specifico dato che sia server Debian, sia server CentOS e Red Hat sono stati colpiti dal rootkit, compresi server con Plesk, CPanel, ISPonfig e DirectAdmin.

I server colpiti si ritrovano con la libreria libkeyutils.so.1.9 che in realtà non esiste in nessun pacchetto ed è il rootkit vero e proprio.

 

Per proteggerti concretamente puoi:

 

- disattivare l'accesso root via ssh

- o limitarlo al tuo solo indirizzo ip da cui eventualmente lo gestisci

- modificare in via precauzionale la pass di root

- assicurarti che il tuo pc desktop sia sano e libero da trojan o keylogger

 

Comunque sia la fonte del problema non è stata ancora individuata ma i sospetti sono tutti sulla breccia subita da Cpanel.

Share this post


Link to post
Share on other sites

Non capisco, se è partito tutto da cPanel come fanno i server Plesk ad essere stati violati? Cioè...come fa ad entrare il rootkit sulle mie macchine?

 

Infine, come faccio (via plesk) a dire al server di accettare login ssh solo da una classe ip?

Share this post


Link to post
Share on other sites

Ho installato il modulo firewall su Plesk. Alla voce SSH ho messo allow only from XXX.0.0.0/8

 

in questo modo dovrebbe accettare il login solo dalla classe ip del mio provider adsl, è corretto? è troppo permissiva?

Share this post


Link to post
Share on other sites
Non capisco, se è partito tutto da cPanel come fanno i server Plesk ad essere stati violati? Cioè...come fa ad entrare il rootkit sulle mie macchine?

 

Infine, come faccio (via plesk) a dire al server di accettare login ssh solo da una classe ip?

 

C'è gente che usa la stessa password per tutto. Violato un server *sbam* ne bucano altri 10.

 

Tu ti connetti da Adsl con ip dinamico? Per i miei gusti non dovresti aprire ssh ad una classe intera, nè tantomeno a tutto il pianeta. Spostalo dalla porta 22 inoltre. Ed impedisci il login a qualsiasi utente che non sia quello desiderato (neanche root) con

 

AllowUsers pincopallo@ip.ip.ip.ip

PermitRootLogin no

 

Do per scontato che usi sudo.

 

Altro fattore di rischio è il recente exploit Java. Bucato un desktop sai bene che i keylogger non lasciano scampo. E via con un altro server bucato. Ecc ecc.

 

All'estero ci sono numerose vittime del rootkit e se ne sono accorti. Se in Italia ce ne sono sicuramente non lo sapremo mai. Vero Giorgino?

Share this post


Link to post
Share on other sites

Purtroppo ci sono poche informazioni attendibili e troppe fuorvianti.

 

Ufficialmente non c'è ancora nessun security bulletin in proposito, in pieno stile blackhats/0day.

 

L'unica cosa certa è che impostare il PermitRootLogin a "no" non serve a nulla.

 

Come al solito, passerà qualche mese e si divertiranno a sbucazzare un pò di server, poi comunicheranno l'advisory e la patch.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×