Показать страницуСсылки сюдаНаверх Эта страница только для чтения. Вы можете посмотреть её исходный текст, но не можете его изменить. Сообщите администратору, если считаете, что это неправильно. ====== Уязвимость в SSH. FIX-инструкция ====== ===== Описание ===== В июле была обнаружена очередная уязвимость в SSH, которая позволяла ботам авторизоваться на сервере и заменить сервер и клиент SSH своими файлами, а потом сканить интернет на предмет уязвимых серверов. ===== Инструкция ===== Это краткая инструкция о том, как обезопасить себя от этой проблемы и решить ее если вы уже заражены вирусом. Проверим, заражен ли ваш сервер. **1** Проверим размер ssh-сервера и клиента. <code> #stat `which sshd` </code> Размер сервера должен быть не более, чем 1 мегабайт. В зависимости от версии размер будет варьироваться. ** Centos 6 ** <code> [root@sh ~]# stat `which sshd` File: `/usr/sbin/sshd' Size: 571224 Blocks: 1120 IO Block: 4096 regular file </code> ** Debian 7 ** <code> root@debian:~# stat `which sshd` Файл: «/usr/sbin/sshd» Размер: 521576 Блоков: 1024 Блок В/В: 4096 обычный файл </code> Если размер отличается более чем в полтора раза, это признак зараженности сервера. **2** Проверим признаки подмены ssh-клиента. Помимо огромного размера клиента, в системе может быть файл ** /usr/include/netda.h ** В него вирус ворует пароли от пользователей <code> root@victory:~# cat /usr/include/netda.h cat: /usr/include/netda.h: Нет такого файла или каталога </code> Всем пользователям, которых найдете там, необходимо незамедлительно сменить пароли ===== Лечение ===== **1** Закроем порт ssh добавив в фаеврол свои IP по примеру. <code> -A INPUT -s 17.19.8.17/32 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j DROP </code> **2** Исправим атрибуты на исполняемые файлы <code> /usr/sbin/sshd /usr/bin/ssh </code> Для для этого выполните команды: <code> chattr -ia /usr/sbin/sshd chattr -ia /usr/bin/ssh </code> Затем, выполните переустановку пакетов openssh **Debian:** <code> aptitude reinstall openssh-server aptitude reinstall openssh-client </code> **Centos** <code> yum reinstall openssh-server yum reinstall openssh-client </code> После проделанных операций убедитесь, что сервер и клиент весят около полумегабайта, а не в 2.5 раза больше. Также, при наличии, удалите папку /usr/src/info - в ней лежит вирус и чистилка логов. А также, проверьте /tmp/ на предмет подозрительных файлов. <note warning>Так же настоятельно рекомендуем, проверить всю систему утилитами chkrootkit и rkhunter</note> ===== Рекомендации ===== **1** Для обеспечения надлежащей безопасности, закройте все порты, кроме необходимых. **2** Доступ к ssh разрешите только для своих IP **3** Отключите вход по ssh от имени root. **4** Регулярно обновляйте софт на серверах. billing/howto/fix_ssh_replace.txt Последнее изменение: 8 лет назад — dh