Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

cPanel gehacked

28. Februar 2013

Seit einigen Tagen kursieren im Netz Nachrichten zu einem SSH-Rootkit (Alter und Herkunft unbekannt), nun scheint aber ein wenig Licht ins Dunkel zu fallen: das Unternehmen cPanel, Anbieter der gleichnamigen Web-Administrationslösung, wurde Opfer eines Hacker-Angriffs. Laut offizieller Stellungnahme wurde dabei ein Server geknackt. Es kursierten bereits Gerüchte dass der cPanel-Hack die Hintertür für die verbreitung dieses Rootkits sein könnte.

Nun fordert cPanel per E-Mail alle Kunden, welche Support-Tickets innerhalb der letzten 6 Monate eröffnet haben, auf ihre Root-Passwörter zu ändern - dies ist aber auch für User mit eingeschränkten Rechten empfehlenswert.

Ob der eigene Server eventuell ebenfalls verseucht ist, lässt sich mit folgenden Kommandos feststellen:

Systeme mit dem Red Hat Paketmanager

# rpm -qfV /lib*/libkeyutils*

Der Red Hat Package Manager vergleicht damit die MD5-Hashes der installierten Dateien mit denen der Paketdatenbank, wenn alles in Ordnung ist erhält man keine Ausgabe.

Debian basierte Systeme

# debsums -a -p /var/cache/apt/archives --generate=all libkeyutils1
/usr/share/doc/libkeyutils1/copyright OK
/usr/share/doc/libkeyutils1/changelog.Debian.gz OK
/lib/libkeyutils.so.1.3 OK

Hinweis: Debsums muss auf den meisten Systemen erst nachinstalliert werden.

Weitere Systeme

# find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'

Wir empfehlen auch auf allen weiteren Servern auf welche im genannten Zeitraum von einem möglicherweise kompromittierten Rechner per SSH zugegriffen wurde, die autorisierten SSH-Keys (~/.ssh/authorized_keys) und Passwörter zu ändern, da diese eventuell entwendet wurden.

Autor:

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/2/28 - 17:57:30
Haftungsausschluss / Datenschutzerklärung