[2014-01-08] 新增 SSHD Rootkit 新版 Ebury 資訊。

自從2013年2月尾開始，一些伺服器管理員發現以RPM為基礎的Linux服務器廣泛地了感染SSHD rootkit。德國電腦保安事故協調中心發現了38個香港IP地址曾經連接到該rootkit的其中一個的命令控制伺服器（C＆C），顯示這些 Linux服務器可能已經感染了SSHD rootkit。香港電腦保安事故協調中心收到他們的報告，並已通知受影響伺服器的擁有者檢查和清理他們的伺服器。

SSHD Rookit

SSH是 Linux 上進行遠端管理的主要工具，如果這個應用程序被操控，將會構成重大的安全風險。這個SSHD rootkit不是由SSH應用程式漏洞所引起，但初始的攻擊方式仍然不明。這個rootkit必須安裝在已取得管理員權限的伺服器上，並以一個木馬函式庫 (即是rootkit檔案 ) 取代原有正常的 keyutils函式庫。 Rootkit 會連結SSHD進程，從中收集SSH用戶登入資訊，這些活動都可能不會在日誌記錄留下任何証據。
 

此外， rootkit使用動態網域產生演算法（DGA），按照頂級網域 .biz，.info 及 .net 這個順序建立隨機樣式的網域名稱，並將收集的用戶登入資訊以DNS數據包方式發送到由 rootkit每日產生的目標網域名稱。如果攻擊者還未註冊該網域名稱，DNS數據包會發送到編程預設的IP地址 "78.47.139.110" 或 “72.156.139.154”。

圖1：被偷取的SSH登入資訊會發送到rootkit的命令控制伺服器。

受感染的伺服器會有什麼影響？

受感染伺服器可能有以下影響：

• 偷取系統上的用戶登入資訊
• 偷取 SSH 對外連接用的私鑰
• 變成後門可以被隨時登入
• 被利用來發送垃圾郵件

如何檢查你的Linux伺服器是否已被感染？

[2014-01-08] 根據德國電腦保安事故協調中心，發現稱為 Ebury 的新版本 rootkit，以下是檢查方法：

1. Ebury 使用共享記憶體區塊（SHMs）作為交互程序通訊（interprocess communication）。以 root 身份執行指令「ipcs -m」顯示現時執行的 SHMs。
2. 假如顯示一個或以下區塊（最小 3 MB）擁有全部權限（666），該系統很大機會受 Ebury 感染。例子：
   
   ------ Shared Memory Segments --------
key shmid owner perms bytes nattch
0x000006e0 32763 root 666 3018428 0
0x00000469 65538 apache 666 4313584 0
0x0000047a 131072 smmsp 666 3966496 0
   
   請注意 Ebury 經常把區塊擁有權統轉給系統內任意用戶（如「apache」），以避免引起懷疑。

[適用於舊版 SSHD rootkit] 以下的檢查可以協助你核實你的Linux伺服器是否被感染：

1. 找出木馬函式庫keyutils內發出網絡活動指示
   
   檢查以下命令的輸出結果（在同一行）：
   
   #find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'
   
   如果有任何輸出，你的伺服器已受感染。
   如果沒有輸出，繼續進行下一個步驟。
    
2. 檢查keyutils函式庫檔案的完整性
   
   檢查以下命令的輸出結果：
   
   #rpm -Vv keyutils-libs

如果你看到類似以下的輸出，表示這個應用程式已被感染：

........    /lib/libkeyutils-1.2.so
S.5.....    /lib/libkeyutils.so.1
........    /usr/share/doc/keyutils-libs-1.2
........  d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL


如果伺服器沒有被感染，您應該只看到左邊的欄位只有點號：

........    /lib64/libkeyutils-1.2.so
........    /lib64/libkeyutils.so.1
........    /usr/share/doc/keyutils-libs-1.2
........  d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL

解決方案

若你的伺服器已受感染

1. 我們強烈建議你需要重新安裝受感染伺服器上的操作系統，以避免任何未知的安全風險。由於攻擊方式仍然不明，請執行以下措施以防止再被感染。
   1. 定期執行上述的檢查。
   2. 繼續留意與這個 rootkit有關的最新修補程式或保安事項。
2. 但是，如果你不能夠進行重新安裝，請在沒有網絡連接的環境下修復以下項目。
   1. 重新安裝 libkeyutils (使用rpm  --replacepkg 選項），並重新啟動伺服器。
   2. 執行上述的檢查，以確保libkeyutils已被一個正常版本所取代。
   3. 變更所有SSH帳戶的密碼。

參考資料

1. SSHD rootkit in the wild by ISC SANS
   https://isc.sans.edu/diary/SSHD+rootkit+in+the+wild/15229
2. Linux Based SSHD Rootkit Floating The Interwebs
   http://blog.sucuri.net/2013/02/linux-based-sshd-rootkit-floating-the-interwebs.html
3. SSHD Rootkit
   http://www.cloudlinux.com/blog/clnews/sshd-exploit.php
4. Determine Your System's Status by cPanel
   http://docs.cpanel.net/twiki/bin/view/AllDocumentation/CompSystem
5. [2014-01-08] Ebury SSH Rootkit - Frequently Asked Questions by CERT-Bund
   https://www.cert-bund.de/ebury-faq