Jump to content
Sign in to follow this  
tecnolive

Server compresso (libkeyutils.1.9)

Recommended Posts

Salve a tutti,

 

Abbiamo un server con Centos/Cpanel che è stato compromesso.....

 

Il sistema era messo in sicurezza:

- Mod_Security

- Disabilitato accesso root dall'esterno, disabilitato l'account root...

- Firewall

- Php 5.3 / suPHP

- BruteForce security

 

Il server è andato bene per un paio di mesi, fino a ieri...... sono riusciti a bucarlo e fargli inviare spam a tempesta.... il problema sembrerebbe derivare da libkeyutils.so.1.9

 

Ho seguito questa guida: SSHD Rootkit e questo piccolissimo scriptino ha rimosso la libreria e delinkata da libkeyutils.so.1

 

Ad ogni modo il server continua a inviare spazzatura, ma la cosa bella è che nessuno riesce a capire da dove e come hanno bucato il server.... (compresi quelli del supporto tecnico cpanel).

 

Cercando su internet ho letto che non si capisce ancora qual'è il vero problema ....

Pericolo per RedHat: libkeyutils.so.1.9 SSH Rootkit Rolling Around

 

Ma da cosa può dipendere ? come potrei fare a capire come hanno bucato il server ?

 

Considerate che abbiamo un sistema che analizza tutti i file che fanno tramite upload dei form , rigettando quelli non concessi (file perl, cgi, ssh, php, ecc)....

 

Non riusciamo davvero a capire quale sia il motivo.... qualcuno ci può aiutare a capire il problema ? la soluzione sarebbe quella di formattare, ma se formattiamo senza capire l'orgine, probabilmente ci ribucano dopo 1 ora.

Share this post


Link to post
Share on other sites

Una delle ipotesi più accreditata sembra un keylogger che poi lanci comandi remoti (probabilmente sa usare sudo), avevate accesso con password o via chiave?

Share this post


Link to post
Share on other sites

La psw è sicura? Ogni quanto viene cambiata?

 

Consiglio di passare all'autenticazione via chiavi e chiudere la porta tranne che dagli ip da cui accetede. Se ciò non fosse possibile passate al port knocking fino a quando non scoprite di più su come vi hanno bucati.

 

Ovviamente prima di farlo pulite il server e generate le chiavi su un'altra macchina, facendo in modo che il server compromesso non entri mai in contatto con la chiave privata.

 

Io installerei anche chkrootkit o Rootkit Hunter per avere maggiore sicurezza fino a che non risolvete la faccenda.

Share this post


Link to post
Share on other sites

Se è un keylogger (come ormai sembra probabile) non importa che la porta non sia la 22, becca anche quella, e becca anche i comandi che lanci quindi sa se ci vuole sudo o altro. Anche la password, può esser sicura quanto vuoi, ma se hai un keylogger di mezzo, a lui loggare 18 bit o 249 non cambia poi tanto.

Share this post


Link to post
Share on other sites

chrootkit installato - Rootkit Hunter installato pure.... è stato proprio chrootkit a inviare l'email di check di possibile compromissione...

 

Ssh: password supersicure... 14 caratteri con caratteri speciali, maiuscono/minuscole, numeri!!

stessa cosa per l'utente ssh....

 

Inoltre, l'accesso a ssh era abilitato solo per il nostro ip in ufficio ! non vi era accesso da nessun'altra parte ... per questo mi sembra strano !!!

Share this post


Link to post
Share on other sites

Sarò io paranoico, ma io non terrei mai attiva l'auth via psw in un server in produzione :P

 

Ci sono veramente troppi modi per fregare una password, fregare la chiave è molto più complicato visto che non viene mai trasmessa.

Share this post


Link to post
Share on other sites
Se è un keylogger (come ormai sembra probabile) non importa che la porta non sia la 22, becca anche quella, e becca anche i comandi che lanci quindi sa se ci vuole sudo o altro. Anche la password, può esser sicura quanto vuoi, ma se hai un keylogger di mezzo, a lui loggare 18 bit o 249 non cambia poi tanto.

 

Ma un keylogger sul server? Allora dev'essere piuttosto sofisticato, magari creato ad hoc, perchè generalmente vengono sempre "beccati" quelli classici.

Fa pensare che sia un server piuttosto importante per un attacco simile...

Share this post


Link to post
Share on other sites

Innanzi tutto grazie per le risposte.

 

No, non è un server importante, tra l'altro dopo aver spiegato tutto ai tecnici di cpanel ci hanno semplicemente detto "Formattate" senza altre spiegazioni.

 

A parte questo, c'è un modo di capire l'origine di questo hack ? non mi capacito da dove ci sono riusciti !

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×