На этот вопрос уже есть ответ здесь:
mv /lib64/libkeyutils.so.1.9 /root
service sshd restart
Stopping sshd: [ OK ]
Starting sshd: /usr/sbin/sshd: error while loading shared libraries: libkeyutils.so.1: cannot open shared object file: No such file or directory
[FAILED]
Как мне удалить его с SSHD?
Необходимо исправить это: {{ 1}} http://www.webhostingtalk.com/showpost.php?p=8548338&postcount=4
REF об этом эксплойте, когда я слышал о нем: http : //blog.solidshellsecurity.com / 2013/02/18 / 0day-linuxcentos-sshd-spam-exploit-libkeyutils-so-1-9 /
Они не входят в систему с правами root и даже не запускают процесс bash . Если библиотека перемещена и sshd перезапущен, они не смогут войти в систему fwiw.
Ключ в том, чтобы выяснить, как они попадают внутрь. Полностью обновленный, ssh sshd с ограничением по ключу, на нестандартных портах скомпрометирован. Ни один из моих клиентов не является им, но я получаю много запросов о продажах по этой проблеме, поэтому я не знаю полной истории машин.
[/lib64]# rpm -vV openssh
......... /etc/ssh
......... c /etc/ssh/moduli
......... /usr/bin/ssh-keygen
......... /usr/libexec/openssh
......... /usr/libexec/openssh/ssh-keysign
......... /usr/share/doc/openssh-5.3p1
......... d /usr/share/doc/openssh-5.3p1/CREDITS
......... d /usr/share/doc/openssh-5.3p1/ChangeLog
......... d /usr/share/doc/openssh-5.3p1/INSTALL
......... d /usr/share/doc/openssh-5.3p1/LICENCE
......... d /usr/share/doc/openssh-5.3p1/OVERVIEW
......... d /usr/share/doc/openssh-5.3p1/PROTOCOL
......... d /usr/share/doc/openssh-5.3p1/PROTOCOL.agent
......... d /usr/share/doc/openssh-5.3p1/README
......... d /usr/share/doc/openssh-5.3p1/README.dns
......... d /usr/share/doc/openssh-5.3p1/README.nss
......... d /usr/share/doc/openssh-5.3p1/README.platform
......... d /usr/share/doc/openssh-5.3p1/README.privsep
......... d /usr/share/doc/openssh-5.3p1/README.smartcard
......... d /usr/share/doc/openssh-5.3p1/README.tun
......... d /usr/share/doc/openssh-5.3p1/TODO
......... d /usr/share/doc/openssh-5.3p1/WARNING.RNG
......... d /usr/share/man/man1/ssh-keygen.1.gz
......... d /usr/share/man/man8/ssh-keysign.8.gz
[/lib64]# rpm -vV openssh-clients
S.5....T. c /etc/ssh/ssh_config
......... /usr/bin/.ssh.hmac
......... /usr/bin/scp
......... /usr/bin/sftp
......... /usr/bin/slogin
......... /usr/bin/ssh
......... /usr/bin/ssh-add
......... /usr/bin/ssh-agent
......... /usr/bin/ssh-copy-id
......... /usr/bin/ssh-keyscan
......... d /usr/share/man/man1/scp.1.gz
......... d /usr/share/man/man1/sftp.1.gz
......... d /usr/share/man/man1/slogin.1.gz
......... d /usr/share/man/man1/ssh-add.1.gz
......... d /usr/share/man/man1/ssh-agent.1.gz
......... d /usr/share/man/man1/ssh-copy-id.1.gz
......... d /usr/share/man/man1/ssh-keyscan.1.gz
......... d /usr/share/man/man1/ssh.1.gz
......... d /usr/share/man/man5/ssh_config.5.gz
[/lib64]# rpm -vV openssh-server
.......T. c /etc/pam.d/ssh-keycat
S.5....T. c /etc/pam.d/sshd
......... /etc/rc.d/init.d/sshd
S.5....T. c /etc/ssh/sshd_config
......... c /etc/sysconfig/sshd
......... /usr/libexec/openssh/sftp-server
......... /usr/libexec/openssh/ssh-keycat
......... /usr/sbin/.sshd.hmac
......... /usr/sbin/sshd
......... /usr/share/doc/openssh-server-5.3p1
......... d /usr/share/doc/openssh-server-5.3p1/HOWTO.ssh-keycat
......... d /usr/share/man/man5/moduli.5.gz
......... d /usr/share/man/man5/sshd_config.5.gz
......... d /usr/share/man/man8/sftp-server.8.gz
......... d /usr/share/man/man8/sshd.8.gz
......... /var/empty/sshd
и
[/lib64]# rpm -qf /lib64/libkeyutils.so.1.9
file /lib64/libkeyutils.so.1.9 is not owned by any package
[/lib64]# rpm -vV keyutils-libs
....L.... /lib64/libkeyutils.so.1
......... /lib64/libkeyutils.so.1.3
......... /usr/share/doc/keyutils-libs-1.4
......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL
Ваш демон SSH и система могут быть скомпрометированы !!
Вы можете ' t доверять существующему демону SSH, установленному на сервере.
Для быстрой проверки запустите проверку RPM существующего пакета. Вы можете сделать это с помощью:
rpm -vV openssh-server
rpm -vV openssh-clients
rpm -vV openssh
Grep вывода каждой из этих команд для S \ .5
. Это сообщит вам, изменились ли двоичные файлы.
Временное исправление заключается в переустановке вашей установки openssh, но это выходит за рамки этого вопроса. См. Следующее ...
Как мне поступить с скомпрометированным сервером?
sshd немедленно создает дамп ядра после восстановления fsck
Записи в `/ etc / inittab` под последней строкой - возможен взлом?