====== Уязвимость в SSH. FIX-инструкция ======

===== Описание =====
В июле была обнаружена очередная уязвимость в SSH, которая позволяла ботам авторизоваться на сервере и заменить сервер и клиент SSH своими файлами, а потом сканить интернет на предмет уязвимых серверов.

===== Инструкция =====
Это краткая инструкция о том, как обезопасить себя от этой проблемы и решить ее если вы уже заражены вирусом.

Проверим, заражен ли ваш сервер. 

**1** Проверим размер ssh-сервера и клиента. 

<code>
#stat `which sshd`
</code>

Размер сервера должен быть не более, чем 1 мегабайт. В зависимости от версии размер будет варьироваться. 

** Centos 6 **
<code> 
[root@sh ~]# stat `which sshd`
  File: `/usr/sbin/sshd'
  Size: 571224    	Blocks: 1120       IO Block: 4096   regular file
</code>

** Debian 7 **
<code>
root@debian:~# stat `which sshd`
  Файл: «/usr/sbin/sshd»
  Размер: 521576    	Блоков: 1024       Блок В/В: 4096   обычный файл
</code>

Если размер отличается более чем в полтора раза, это признак зараженности сервера. 


**2** Проверим признаки подмены ssh-клиента.
Помимо огромного размера клиента, в системе может быть файл ** /usr/include/netda.h **
В него вирус ворует пароли от пользователей

<code>
root@victory:~# cat /usr/include/netda.h 
cat: /usr/include/netda.h: Нет такого файла или каталога
</code>

Всем пользователям, которых найдете там, необходимо незамедлительно сменить пароли


===== Лечение =====

**1** Закроем порт ssh добавив в фаеврол свои IP по примеру.

<code>
-A INPUT -s 17.19.8.17/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
</code>

**2** Исправим атрибуты на исполняемые файлы
<code>
/usr/sbin/sshd
/usr/bin/ssh
</code>

Для для этого выполните команды:
<code>
chattr -ia /usr/sbin/sshd
chattr -ia /usr/bin/ssh
</code>

Затем, выполните переустановку пакетов openssh

**Debian:**
<code>
aptitude reinstall openssh-server
aptitude reinstall openssh-client
</code>

**Centos**
<code>
yum reinstall openssh-server
yum reinstall openssh-client
</code>

После проделанных операций убедитесь, что сервер и клиент весят около полумегабайта, а не в 2.5 раза больше.

Также, при наличии,  удалите папку /usr/src/info - в ней лежит вирус и чистилка логов. 
А также, проверьте /tmp/ на предмет подозрительных файлов.

<note warning>Так же настоятельно рекомендуем, проверить всю систему утилитами chkrootkit и rkhunter</note>

===== Рекомендации =====

**1** Для обеспечения надлежащей безопасности, закройте все порты, кроме необходимых. 

**2** Доступ к ssh разрешите только для своих IP

**3** Отключите вход по ssh от имени root.

**4** Регулярно обновляйте софт на серверах.