[تحذير] واحاطة ب Ebury Rootkit/Backdoor لاختراق الرروت

السلام عليكم ورحمة الله وبركاته

وجب على التحذير لمن ليس له علم ب Ebury rootkit
ادق توضيح له انه Trojan يستحوذ على صلاحيات الرووت يمكن اى شخص من التحكم بالسيرفر لأى غرض كان حتى لو اتغير الباسورد

كيفية معرفة اذا كنت مصاب بالتروجان ام لا !!!
عن طريق تنفيذ الأمر
رمز PHP:

ipcs -m

اذا النتيجة بالاستهلاك كبيرة .. على الاقل 3 ميجا اذا انت مصاب ودائما تجد العملية لها تصريح 666

ايضا وجب التنبيه من يتعامل مع سى بانل cPanel لايدع الدعم الخاص بهم للدخول بسيرفراتهم لحل مشكلة ما لأنه تأكد وجود التروجان لديهم ويتم نقله الى سيرفر يتم الاتصال به وانا رأيت ردود بعض الناس المصابة بنفسى فى بعض المنتديات الاجنبية

Determine Your System's Status

للتأكد بالاصابة اللى بيتم تغيير ssh binary اللى بيقدر يسحب منها بيانات الدخول .. بننفذ الامر التالى
رمز PHP:

find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;

بالعادى مساحتها بتكون 15 كيلو .. لكن لو مصاب بالغالب تجد المساحة اكبر من 25 كيلو بايت

اذا تم العثور على التروجان وتأكد الاصابة .. لايوجد كثير من برامج Anti-Virus تقوم بالعثور على Ebury
لا ClamAV او rootkit hunter
البعض جرب SSHDoor واكتشفه

لكن هل ستكون على علم بما فعله المخترق فى السيرفر ؟؟؟
بالتأكيد لايوجد شىء اكيد او مضمون ... لأنه ببساطة ممكن تكون مصاب منذ اسابيع او شهور

لذلك افضل حل هو reinstall للسيستم ككل ( هذا اسلم حل بدلا من تنظيف السيرفر )
واذا كنت تتعامل مع اكثر من سيرفر من جهازك اذا لا بد عليك عمل ذلك على السيرفرات الاخرى مع عدم الدخول من سيرفر او جهاز مصاب بالفعل .

تحياتى .







أكثر...