OVH Community, your new community space.

Hack en cPanel ? o se rien de mi en el soporte de cPanel


oceano
22/02/2013, 08:45
Hola, buenos días

Seguramente te interese seguir éste hilo, creo que no vas a ser el único.

http://foros.ovh.es/showthread.php?t=10724

Un saludo !
ElSorro
21/02/2013, 16:18
[EDITO]
Es mas serio de lo que parece.

Mirar:
http://www.webhostingtalk.com/showthread.php?t=1235797

El analista anterior encontró este archivo en su servidor:

--

[root@www ~]# \ls -la $(ldd $(which sshd) |grep libkey | cut -d" " -f3)
lrwxrwxrwx 1 root root 20 Feb 20 14:31 /lib64/libkeyutils.so.1 -> libkeyutils.so.1.3.2

[root@www ~]# rpm -qf /lib64/libkeyutils.so.1.3.2
file /lib64/libkeyutils.so.1.3.2 is not owned by any package

--

Esto es una indicación de que el servidor es hackeado.

Debido a que el servidor es hackeado, el apoyo cPanel no puede proporcionar soporte técnico para el servidor. Lo siento. Es política de la empresa.

Les proporciono alguna información adicional acerca de este archivo a continuación.

Gracias.

~~~~~~~~~~~~~~~~~~~~

Desafortunadamente, no podemos ofrecer ningún consejo concreto sobre el exploit libkeyutils, porque nadie está aún consciente de la naturaleza específica de lo que está causando la mayor comunidad exploit.The hosting ha estado buscando diligentemente para identificar la causa raíz y punto de entrada. Esto parece estar afectando principalmente RHEL / CentOS cajas.

Es de destacar que esta hazaña no se limita a cPanel. De hecho, hemos tenido nuestros propios equipos de seguridad y desarrollo a través de pruebas de peinado con diligencia los últimos días para confirmar que no es nada relacionado con cPanel. Además, hemos visto varias organizaciones no cPanel cajas infectado, que van desde no-cajas cPanel panel de control a simples básicos CentOS / RHEL instalaciones con nada especial sobre ellos.

Después de un buen sistema operativo Actualizar y restaurar (como por cualquier otro de nivel raíz compromiso), la mejor opción sería la de bloquear SSH entrante / saliente a cualquier IP que no sea su propia IP si aún no lo ha hecho. Usted podría bloquear el acceso sshd en WHM> Host área de control de acceso o el uso de / etc / hosts.allow para procesos sshd (Permita sólo su IP (s) y Denegar para todos después de eso). Este parece ser el mejor recurso en el ínterin hasta que nosotros mismos o la comunidad en general identifica este exploit nivel del sistema operativo y un parche adecuado se puede implementar en RHEL / CentOS.

Una de las posibles pistas en cuanto a lo siguiente exploit seguridad del sistema operativo:

http://seclists.org/oss-sec/2013/q1/334

Sin embargo, todavía tenemos que relacionar una prueba concreta con un punto específico de entrada aún más allá de un lento proceso de eliminación.

Nuestros administradores de sistemas propios han estado asesorando a una medida cautelar de bloquear todo el acceso público a los servidores SSH. Aunque no sabemos lo suficiente para decir si esto es totalmente eficaz, se ha aconsejado como una precaución razonable hasta el momento.

Para conocer más detalles sobre el exploit, por favor consulte el siguiente:

http://www.webhostingtalk.com/showthread.php?t=1235797
http://forums.cpanel.net/f185/sshd-rootkit-323962.html
Yo he optado por desactivar el servicio SSHD de mi maquina en cuestión.