US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

Лечим свой сервер от Ebury

Лечим свой сервер от Ebury

Мар 21, 2014DmitryБез рубрики

Эпидемия Ebury SSH RootKit продолжается около года — первые исследования этого Linux-троянца начались в феврале 2013 года. Новые версии этого вредоносного программного обеспечения все еще появляются, количество зараженных операционных систем велико, поэтому вопросы «лечения» от данного руткита очень актуальны.

Для начала — немного информации о самом Ebury. Основная функция троянца — воровство паролей и приватных ключей SSH, отсылка их на серверы злоумышленников с использованием специально сформированных DNS-запросов. Ebury также может использоваться для несанкционированного получения удаленного доступа к серверу, причем запись о входе злоумышленника в лог-файлах не производится. Соответственно, если не принять меры, то в дальнейшем скомпрометированный сервер может использоваться для рассылки спама, дальнейших взломов и так далее.

Для проникновения в чистую систему могут быть использованы разные способы. Наиболее очевидные из них:

  • подбор паролей;
  • уязвимость системных утилит. Это может быть, если операционная система не обновлялась длительное время и не содержит актуальные исправления;
  • «воровство» паролей или ключей — если один и тот же пароль используется на нескольких серверах, то при заражении одного есть вероятность взлома остальных.

Для своего функционирования Ebury подменяет библиотеку libkeyutils, которая активно используется SSH-сервером и SSH-клиентом. Существует несколько вариаций руткита, однако есть общие черты, по которым можно определить, заражен или нет сервер.

Проверить свою ОС можно достаточно быстро. Ebury использует для обмена данными разделяемую память (shared memory), поэтому следует обратить внимание на ее использование. Выполним команду ipcs -m. Если в списке будет сегмент с правами 666 и размером около 3 мегабайт — сервер «заражен».

1
2
3
4
# ipcs -m
------ Shared Memory Segments --------
key        shmid      owner     perms      bytes      nattch
0x000006e0 65538      root      666        3283128    0

Следующим этапом проведем проверку libkeyutils. Обычный размер этой библиотеки — 8-15 килобайт. Если же размер libkeyutils более 25 килобайт, то мы имеем дело с подменой и операционная система взломана:

1
# find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;

Оригинальная библиотека имеет небольшой размер:

1
-rw-r--r-- 1 root root 8528 Apr  4  2010 /lib/libkeyutils.so.1.3

«Зараженная» — более 25 килобайт:

1
-rwxr-xr-x 1 root root 35136 Jun 22  2012 /lib64/libkeyutils.so.1.3

Приступим к удалению Ebury. Обратите внимание — libkeyutils используется SSH-сервером и клиентом, поэтому не стоит просто удалять зараженную библиотеку.

Загрузим с официального репозитория оригинальные инсталляционные пакеты. Ниже — примеры для Centos и Debian 64bit:

1
2
3
4
5
6
7
8
9
# Centos 64bit
wget http://mirror.centos.org/centos/6/os/x86_64/Packages/keyutils-libs-1.4-4.el6.x86_64.rpm
wget http://mirror.centos.org/centos/6/os/x86_64/Packages/openssh-clients-5.3p1-94.el6.x86_64.rpm
wget http://mirror.centos.org/centos/6/os/x86_64/Packages/openssh-server-5.3p1-94.el6.x86_64.rpm
 
# Debian 64bit
wget http://ftp.us.debian.org/debian/pool/main/o/openssh/openssh-client_5.5p1-6+squeeze4_amd64.deb
wget http://ftp.us.debian.org/debian/pool/main/o/openssh/openssh-server_5.5p1-6+squeeze4_amd64.deb
wget http://ftp.us.debian.org/debian/pool/main/k/keyutils/libkeyutils1_1.4-1_amd64.deb

Удалим зараженную библиотеку и установим заново libkeyutils и SSH:

1
2
3
4
5
6
7
8
9
10
11
# Centos
rm /lib64/libkeyutils*
rpm -Uvh --replacefiles --replacepkgs ./keyutils-libs-1.4-4.el6.x86_64.rpm
rpm -Uvh --replacefiles --replacepkgs ./openssh-clients-5.3p1-94.el6.x86_64.rpm
rpm -Uvh --replacefiles --replacepkgs ./openssh-server-5.3p1-94.el6.x86_64.rpm
 
# Debian
rm /lib64/libkeyutils*
dpkg -i ./libkeyutils1_1.4-1_amd64.deb
dpkg -i ./openssh-client_5.5p1-6+squeeze4_amd64.deb
dpkg -i ./openssh-server_5.5p1-6+squeeze4_amd64.deb

Перезагружаемся, проверяем систему на отсутствие руткита, обязательно обновляем операционную систему, меняем пароли. Если используется авторизация по ключу — необходимо перегенерировать пару ключей. «Старые» пароли и ключи уязвимы и известны злоумышленнику, их использовать более небезопасно.

В заключение отметим, что в данное время относительно безопасным является использование паролей с длиной не менее 12-15 символов, где используются заглавные и строчные буквы, цифры и спецсимволы. Более простые пароли, особенно содержащие слова или состоящие из одних цифр, могут быть взломаны за минуты — современные процессоры и алгоритмы достаточно быстры.

p.s. Вне зависимости от того, пригодилась эта заметка или нет — вовремя делайте резервные копии и не забывайте регулярно, раз в 1-2 месяца, менять пароли.

Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • Выпущен Centos 8

  • Как «растянуть» файловую систему VDS после смены тарифа без потери данных?

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

← Vesta CP — бесплатная панель управления сервером
Вопросы и ответы: SSD VDS →

Recent Posts

  • Ультрабыстрые NVMe-серверы Xeon E доступны к заказу!
    Ультрабыстрые NVMe-серверы Xeon E доступны к заказу!

    У нас пополнение - доступны к заказу нов...

  • CyberMonday — скидка 50% с понедельника по понедельник!
    CyberMonday — скидка 50% с понедельника по понедельник!

    Обычно после пятницы приходит суббота, н...

  • Мы принимаем Alipay!
    Мы принимаем Alipay!

    Теперь наши SSD VDS, выделенные серверы,...

  • Black Friday начинается сейчас!
    Black Friday начинается сейчас!

    Мы решили не томить ожиданием наших поль...

  • Датацентр US1.LAX — модернизация завершена
    Датацентр US1.LAX — модернизация завершена

    Мы закончили обновление нашей флагманско...

  • Хеллоуин 2019 — раздаем скидки!
    Хеллоуин 2019 — раздаем скидки!

    Мега-скидки бывают не только к "черной п...

  • Серьезная уязвимость в устройствах Mikrotik
    Серьезная уязвимость в устройствах Mikrotik

    Компания Tenable несколько дней назад вы...

  • Выпущен Centos 8
    Выпущен Centos 8

    Три дня назад была официально выпущена н...

European HQ

ITL-Bulgaria Ltd.

5 Sv-Sv Kiril&Metodi str
Burgas
Burgas reg, 8000
Bulgaria

+359 2 4925555

[email protected]

North America HQ

Green Floid LLC

2707 East Jefferson St
Orlando
Florida, 32803
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.