Linux SSHD Rootkit

4. Marec 2013 - 9:28

Linux strežniki z RPM sistemom upravljanja programskih paketov so tarča rootkita v obliki podtaknjene kljižnice libkeyutils, ki jo uporablja sshd. Preko podtaknjene knjižnice se izvaja kraja gesel uporabnikov, ki se na sistem prijavljajo preko SSH protokola.

Do sedaj je znano, da so ranljive Linux distribucije, ki za upravljanje s programskimi paketi uporabljajo sistem RPM. Najbolj razširjene take distribucije so: RedHat, CentOS in Fedora.

Zaenkrat natančna metoda napada še ni znana. Najbolj verjetno je, da gre za vdor z znanim root geslom. Druga možnost je zloraba preko ranljive različice cPanel upravljalskega vmesnika.

Odkrivanje zlorabe

Izvedite ukaz:

find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'
Če rezultat ukaza ni prazen, je strežnik zlorabljen. Dodatno lahko preverite integriteto nameščenega paketa:

$ rpm -Vv keyutils-libs
......... /lib64/libkeyutils.so.1
......... /lib64/libkeyutils.so.1.3
......... /usr/share/doc/keyutils-libs-1.4
......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL
V levem delu morate videti le pike, sicer je lahko knjižnica podtaknjena.

Če ste po zgornjem postopku ugotovili, da je vaš strežnik zlorabljen, potem opravite naslednje korake:

1. Obvestite vse uporabnike sistema, da je njihovo geslo ukradeno.
2. Ponovno namestite paket keyutils-libs in ponovno zaženite sshd (ali opravite reboot).
3. Poskusite ugotoviti, kako je do podtikanja knjižnice prišlo in ugotovitve sporočite na naslov cert@cert.si.
4. Poskrbite, da bodo vsi uporabniki zamenjali gesla za dostop do strežnika.
5. Če uporabljate cPanel vmesnik, poskrbite za njegovo nadgradnjo.

SI-CERT