Opis
Linux strežniki z RPM sistemom upravljanja programskih paketov so tarča rootkita v obliki podtaknjene kljižnice libkeyutils, ki jo uporablja sshd. Preko podtaknjene knjižnice se izvaja kraja gesel uporabnikov, ki se na sistem prijavljajo preko SSH protokola.
Ranljivi sistemi
Do sedaj je znano, da so ranljive Linux distribucije, ki za upravljanje s programskimi paketi uporabljajo sistem RPM. Najbolj razširjene take distribucije so: RedHat, CentOS in Fedora.
Metoda napada
Zaenkrat natančna metoda napada še ni znana. Najbolj verjetno je, da gre za vdor z znanim root geslom. Druga možnost je zloraba preko ranljive različice cPanel upravljalskega vmesnika.
Odkrivanje zlorabe
Izvedite ukaz:
find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'
Če rezultat ukaza ni prazen, je strežnik zlorabljen. Dodatno lahko preverite integriteto nameščenega paketa:
$ rpm -Vv keyutils-libs
......... /lib64/libkeyutils.so.1
......... /lib64/libkeyutils.so.1.3
......... /usr/share/doc/keyutils-libs-1.4
......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL
V levem delu morate videti le pike, sicer je lahko knjižnica podtaknjena.
Ukrepi
Če ste po zgornjem postopku ugotovili, da je vaš strežnik zlorabljen, potem opravite naslednje korake:
- Obvestite vse uporabnike sistema, da je njihovo geslo ukradeno.
- Ponovno namestite paket keyutils-libs in ponovno zaženite sshd (ali opravite reboot).
- Poskusite ugotoviti, kako je do podtikanja knjižnice prišlo in ugotovitve sporočite na naslov cert@cert.si.
- Poskrbite, da bodo vsi uporabniki zamenjali gesla za dostop do strežnika.
- Če uporabljate cPanel vmesnik, poskrbite za njegovo nadgradnjo.