Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

cPanel gehacked

28. Februar 2013

Seit einigen Tagen kursieren im Netz Nachrichten zu einem SSH-Rootkit (Alter und Herkunft unbekannt), nun scheint aber ein wenig Licht ins Dunkel zu fallen: das Unternehmen cPanel, Anbieter der gleichnamigen Web-Administrationslösung, wurde Opfer eines Hacker-Angriffs. Laut offizieller Stellungnahme wurde dabei ein Server geknackt. Es kursierten bereits Gerüchte dass der cPanel-Hack die Hintertür für die verbreitung dieses Rootkits sein könnte.

Nun fordert cPanel per E-Mail alle Kunden, welche Support-Tickets innerhalb der letzten 6 Monate eröffnet haben, auf ihre Root-Passwörter zu ändern - dies ist aber auch für User mit eingeschränkten Rechten empfehlenswert.

Ob der eigene Server eventuell ebenfalls verseucht ist, lässt sich mit folgenden Kommandos feststellen:

Systeme mit dem Red Hat Paketmanager

# rpm -qfV /lib*/libkeyutils*

Der Red Hat Package Manager vergleicht damit die MD5-Hashes der installierten Dateien mit denen der Paketdatenbank, wenn alles in Ordnung ist erhält man keine Ausgabe.

Debian basierte Systeme

# debsums -a -p /var/cache/apt/archives --generate=all libkeyutils1
/usr/share/doc/libkeyutils1/copyright OK
/usr/share/doc/libkeyutils1/changelog.Debian.gz OK
/lib/libkeyutils.so.1.3 OK

Hinweis: Debsums muss auf den meisten Systemen erst nachinstalliert werden.

Weitere Systeme

# find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'

Wir empfehlen auch auf allen weiteren Servern auf welche im genannten Zeitraum von einem möglicherweise kompromittierten Rechner per SSH zugegriffen wurde, die autorisierten SSH-Keys (~/.ssh/authorized_keys) und Passwörter zu ändern, da diese eventuell entwendet wurden.

Autor:

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in Microsoft Remote Desktop Services - Updates verfügbar
16. Mai 2019 | Beschreibung | Microsoft ...
Update: ASUS Live Update verbreitete Schadsoftware
25. März 2019 | Update: ...
mehr ...
CEO Fraud goes WhatsApp
24. Mai 2019 | Uns wurde ...
Cyber Security Challenge 2019
17. Mai 2019 | Auch heuer ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/2/28 - 17:57:30
Haftungsausschluss / Datenschutzerklärung