Hosting Knowledge Base

Alerta de seguridad en servidores Linux sobre rootkit SSHD

Este artículo no afecta a sistemas únicamente con Plesk, sino que afecta a todos los sistemas Linux con conexión SSH habilitada. Recomendamos que aunque tengan su servidor bien asegurado, realicen las comprobaciones pertinentes que a continuación se detallan.

Según recientes informes parece que ha surgido un nuevo rootkit que deja una puerta abierta en el sistema y logra acceso root en servidores basados en Linux. El origen del problema todavía es desconocido.

Se puede obtener información detallada al respecto sobre el rootkit en el siguiente enlace.

La información que se ha obtenido de momento es la siguiente:

  • El propio rootkit deposita archivos en /lib64/libkeyutils.so.1.9 en sistemas de 64bits y en /lib/libkeyutils.so.1.9 en sistemas de 32bits.
  • Modifica el link: /lib64/libkeyutils.so.1 ( y /lib/libkeyutils.so.1 ) para apuntar a la citada anterior librería.

Posibles problemas derivados de dicho rootkit:

  • Robo de contraseñas, SSH Keys y de /etc/shadow.
  • Acceso al servidor en cualquier momento.
  • Envío de Spam a través del servidor.

Para poder comprobar si el servidor está infectado con este problema, bastará con ejecutar el siguiente comando, que descarga un script de comprobación de la librería anteriormente citada:

$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/check.sh |/bin/bash

El siguiente script cambia el link que el rootkit establece hacia la librería maliciosa:

$ wget -qq -O - http://www.cloudlinux.com/sshd-hack/clean.sh |/bin/bash

En el caso de que se haya encontrado el rootkit y se hayan ejecutado ambos scripts, será necesario reiniciar el servidor posteriormente.


Los scripts anteriormente citados únicamente comprueban dos librerías conocidas del problema de seguridad y no garantizan que se haya limpiado el servidor de otros posibles problemas que haya generado el rootkit

No existe ningún parche actualmente que pueda prevenir este problema de seguridad, por lo que para protegerse de posibles ataques desde fuera, se recomienda que se bloquee el acceso SSH y únicamente se garantice a determinadas IPs conocidas que puedan necesitar acceso. Adicionalmente, recomendamos la modificación de las contraseñas de root.

Archivos adjuntos

No se han encontrado archivos adjuntos.

¿Cómo puntuaría esta respuesta?



Para publicar un comentario para este artículo, simplemente complete el formulario más abajo. Los campos marcados con un asterisco son obligatorios.


Comentarios de los visitantes

No hay comentarios publicados de visitantes. Publicar un comentario
  • SILICONTOWER, S.L.
  • ESB64611825
  • Rda.General Mitre 25 Bajos 2a
  • 08017 Barcelona