Linux SSHD Rootkit 偷取伺服器上的 SSH 登入資訊

 (圖片來源 : google)

1. 自從2013年2月尾開始，一些伺服器管理員發現以RPM為基礎的Linux服務器廣泛地了感染SSHD rootkit
2. 德國電腦保安事故協調中心發現了38個香港IP地址曾經連接到該rootkit的其中一個的命令控制伺服器（C＆C），顯示這些 Linux服務器可能已經感染了SSHD rootkit
3. SSHD rootkit不是由SSH應用程式漏洞所引起，但初始的攻擊方式仍然不明
4. 這個rootkit必須安裝在已取得管理員權限的伺服器上，並以一個木馬函式庫 (即是rootkit檔案 ) 取代原有正常的 keyutils函式庫
5. Rootkit 會連結SSHD進程，從中收集SSH用戶登入資訊，這些活動都可能不會在日誌記錄留下任何証據
6. rootkit使用動態網域產生演算法（DGA），按照頂級網域 .biz，.info 及 .net 這個順序建立隨機樣式的網域名稱，並將收集的用戶登入資訊以DNS數據包方式發送到由 rootkit每日產生的目標網域名稱
7. 如果攻擊者還未註冊該網域名稱，DNS數據包會發送到編程預設的IP地址 “78.47.139.110” 或 “72.156.139.154”。

檢查有沒有感染

一、找出木馬函式庫keyutils內發出網絡活動指示，有任何輸出，你的伺服器已受感染

find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'

二、檢查keyutils函式庫檔案的完整性

rpm -Vv keyutils-libs

已被感染

........ /lib/libkeyutils-1.2.so
S.5..... /lib/libkeyutils.so.1
........ /usr/share/doc/keyutils-libs-1.2
........ d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL

正常的

........ /lib64/libkeyutils-1.2.so
........ /lib64/libkeyutils.so.1
........ /usr/share/doc/keyutils-libs-1.2
........ d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL

怎麼保護

1. 定期執行上面檢查
2. 重新安裝 libkeyutils (rpm –replacepkg)
3. 改 ssh 密碼
4. 改 port
5. 固定來源才能連 ssh
6. 用 public key

參考 :

https://www.hkcert.org/my_url/zh/blog/13031201?nid=208144
http://blog.sucuri.net/2013/02/linux-based-sshd-rootkit-floating-the-interwebs.html
http://kb.parallels.com/115589