کابوس واقعی

یه بابایی اومده یکی از فایل‌های خیلی مهم لینوکس رو به اسم libkeyutils.so.1.9 بررسی کرده (منبع خبر) و به این نتیجه رسیده که درون این فایل یه آی‌پی به آدرس 78.47.139.110 وجود داره! که همینجوری هم نمی‌شه دید و چشم بصیرت می‌خواد.

ssh

آی‌پی هم اشاره داشته به سایت rubop.com که مشخصات این دامین هم این شکلیه.

بعد هم دیدن که خیلی راحت می‌تونه طرف از طریق ssh وصل شه به ماشین دیگه ای و گویا در کرنل‌های سه به بالا این مشکل وجود نداره پس خیلی از دیستروهای سنت او اس احتمالا این مشکل رو خواهند داشت. آدرسی که این فایل وجود داره در روت  سیستم عامل و داخل فولدر lib64 هست. که اتفاقی دیدم تو یکی از سرورهایی که دست منه هم این فایل وجود داره

منتها خیلی خوب و خوشحال از این کشف بزرگ اومدم این فایل رو پاک کردم! و بعد هم exit و بعد یک ساعت تلفن زنگ خورد که فلانی فلانی چیکار کردی سرور رو؟ همه سایتا داون شدن :) که دیدم ای دل غافل! همه چی زیر سر این فایل ریزه میزه ست و خلاصه به کمک kvm و ریموت وصل شدن به سرور انگاری که پشت مانیتور نشسته باشی تونستم وارد سیستم عامل بشم و جالب بود که حتی دستورای ابتدایی مثل wget هم از کار افتادن و خلاصه همه اینا کابوسی شد برای من تا اینکه با هر مکافاتی بود تونستم سیستم رو درست کنم!

اما  برای اینکه از شر این موجود و این فایل که آخرش پسوند 1.9 داره راحت بشید اول یه سرچی بزنی که اصلا این فایل وجود داره توی این فولدر lib64 و بعد هم مطمئن شید که جای دیگه‌ای نباشه.

 حالا فایل مشکوک رو پاک می‌کنید به همراه شورتکاتی که ساخته و بعد دوباره شورتکات رو از فایل سالم libkeyutils.so.1.3 می‌سازید. دقت کنید در نهایت باید فایل libkeyutils.so.1 رو حتما داشته باشید در غیر اینصورت هیچ چیزی کار نمی‌کنه و می‌شید مثل من! بعد از اینکه شورتکات رو ساختید سرویس sshd رو هم ریست بدید و در نهایت کرنل رو آپدیت کنید (اگر داشتید!) و بعد هم ریست می‌دید سرور رو.

البته یک سری گفتن حتی با پاک شدن این فایل هم معلوم نیست مشکل حل می‌شه یا نه ولی خب با تنظیمات فایروال و اینکه از ssh استفاده می‌کنه (از پورت‌های غیر استاندارد) نباید مشکل خاصی پیش بیاد.

توضیحات خیلی خوب و کاملتری رو می‌تونید از اینجا گیر بیارید.

 

 

 

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *