香港電腦保安事故中心發佈 SSHD Rootkit 偷取登入資料警告
原文出處:香港電腦保安事故協調中心
小心 Linux SSHD Rootkit 偷取伺服器上的 SSH 登入資訊
這個SSHD rootkit不是由SSH應用程式漏洞所引起,但初始的攻擊方式仍然不明。這個rootkit必須安裝在已取得管理員權限的伺服器上,並以一個木馬函式庫 (即是rootkit檔案 ) 取代原有正常的 keyutils函式庫。 Rootkit 會連結SSHD進程,從中收集SSH用戶登入資訊,這些活動都可能不會在日誌記錄留下任何証據。
如何檢查你的Linux伺服器是否已被感染?
以下的檢查可以協助你核實你的Linux伺服器是否被感染:
- 找出木馬函式庫keyutils內發出網絡活動指示
檢查以下命令的輸出結果(在同一行):#find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'
如果有任何輸出,你的伺服器已受感染。
如果沒有輸出,繼續進行下一個步驟。
- 檢查keyutils函式庫檔案的完整性
檢查以下命令的輸出結果:#rpm -Vv keyutils-libs
如果你看到類似以下的輸出,表示這個應用程式已被感染:
........ /lib/libkeyutils-1.2.so S.5..... /lib/libkeyutils.so.1 ........ /usr/share/doc/keyutils-libs-1.2 ........ d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL
如果伺服器沒有被感染,您應該只看到左邊的欄位只有點號:
........ /lib64/libkeyutils-1.2.so ........ /lib64/libkeyutils.so.1 ........ /usr/share/doc/keyutils-libs-1.2 ........ d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL
完整原文:香港電腦保安事故協調中心 -
資訊保安報(2013年4月號)