关于以下事项:
http://blog.solidshellsecurity.com/2013/02/18/0day-linuxcentos-sshd-spam-exploit-libkeyutils-so-1-9/ http://www.reddit.com/r/netsec/comments/18ro3c/sshd_rootkit/
显然,有一堆 Redhat 服务器通过库被植入后门。有人能提供一些关于如何追踪和找到最初的联系漏洞的建议吗?
答案1
根据链接:
“听起来更像是他们通过 php 进入,然后在获得 root 权限后使用坏库对 sshd 进行后门攻击。初始攻击媒介不是 sshd 中的漏洞。
经过进一步阅读,大家一致认为,最初的攻击是通过安全性较差的机器上的 cpanel 进行的。只有 64 位机器才会获得后门 sshd,这是通过 /lib64/libkeyutils.so.1.9 完成的,否则该系统上不应该存在这个文件。”
现在,为什么基于 PHP 的漏洞最终允许 root 访问还是个谜。可能是 apache 以 root 权限运行,因此 PHP 文件也以类似的权限执行。除非您以 root 权限运行 PHP/apache,否则应该没有什么可担心的。如建议的那样,可以使用“rpm -qf /lib/libkeyutils.so.1.9”命令来查看您是否受到影响。