یه بابایی اومده یکی از فایلهای خیلی مهم لینوکس رو به اسم libkeyutils.so.1.9 بررسی کرده (منبع خبر) و به این نتیجه رسیده که درون این فایل یه آیپی به آدرس 78.47.139.110 وجود داره! که همینجوری هم نمیشه دید و چشم بصیرت میخواد.
آیپی هم اشاره داشته به سایت rubop.com که مشخصات این دامین هم این شکلیه.
1 2 3 4 |
Administrative Contact: Ibragimov, Sergey pmadison12 at gmail dot com Polanskay 11 Moskow, Russia 11223 |
بعد هم دیدن که خیلی راحت میتونه طرف از طریق ssh وصل شه به ماشین دیگه ای و گویا در کرنلهای سه به بالا این مشکل وجود نداره پس خیلی از دیستروهای سنت او اس احتمالا این مشکل رو خواهند داشت. آدرسی که این فایل وجود داره در روت سیستم عامل و داخل فولدر lib64 هست. که اتفاقی دیدم تو یکی از سرورهایی که دست منه هم این فایل وجود داره
منتها خیلی خوب و خوشحال از این کشف بزرگ اومدم این فایل رو پاک کردم! و بعد هم exit و بعد یک ساعت تلفن زنگ خورد که فلانی فلانی چیکار کردی سرور رو؟ همه سایتا داون شدن :) که دیدم ای دل غافل! همه چی زیر سر این فایل ریزه میزه ست و خلاصه به کمک kvm و ریموت وصل شدن به سرور انگاری که پشت مانیتور نشسته باشی تونستم وارد سیستم عامل بشم و جالب بود که حتی دستورای ابتدایی مثل wget هم از کار افتادن و خلاصه همه اینا کابوسی شد برای من تا اینکه با هر مکافاتی بود تونستم سیستم رو درست کنم!
اما برای اینکه از شر این موجود و این فایل که آخرش پسوند 1.9 داره راحت بشید اول یه سرچی بزنی که اصلا این فایل وجود داره توی این فولدر lib64 و بعد هم مطمئن شید که جای دیگهای نباشه.
1 |
“updatedb” && locate libkeyutils.so.1.9 |
حالا فایل مشکوک رو پاک میکنید به همراه شورتکاتی که ساخته و بعد دوباره شورتکات رو از فایل سالم libkeyutils.so.1.3 میسازید. دقت کنید در نهایت باید فایل libkeyutils.so.1 رو حتما داشته باشید در غیر اینصورت هیچ چیزی کار نمیکنه و میشید مثل من! بعد از اینکه شورتکات رو ساختید سرویس sshd رو هم ریست بدید و در نهایت کرنل رو آپدیت کنید (اگر داشتید!) و بعد هم ریست میدید سرور رو.
1 2 3 4 5 6 |
cd /lib64/ rm libkeyutils.so.1.9 rm libkeyutils.so.1 ln –s libkeyutils.so.1.3 libkeyutils.so.1 service sshd restart yum update kernel |
البته یک سری گفتن حتی با پاک شدن این فایل هم معلوم نیست مشکل حل میشه یا نه ولی خب با تنظیمات فایروال و اینکه از ssh استفاده میکنه (از پورتهای غیر استاندارد) نباید مشکل خاصی پیش بیاد.
توضیحات خیلی خوب و کاملتری رو میتونید از اینجا گیر بیارید.
دیدگاهتان را بنویسید