28.02.2013 17:57

cPanel gehacked

Seit einigen Tagen kursieren im Netz Nachrichten zu einem SSH-Rootkit (Alter und Herkunft unbekannt), nun scheint aber ein wenig Licht ins Dunkel zu fallen: das Unternehmen cPanel, Anbieter der gleichnamigen Web-Administrationslösung, wurde Opfer eines Hacker-Angriffs. Laut offizieller Stellungnahme wurde dabei ein Server geknackt. Es kursierten bereits Gerüchte dass der cPanel-Hack die Hintertür für die verbreitung dieses Rootkits sein könnte.

Nun fordert cPanel per E-Mail alle Kunden, welche Support-Tickets innerhalb der letzten 6 Monate eröffnet haben, auf ihre Root-Passwörter zu ändern - dies ist aber auch für User mit eingeschränkten Rechten empfehlenswert.

Ob der eigene Server eventuell ebenfalls verseucht ist, lässt sich mit folgenden Kommandos feststellen:

Systeme mit dem Red Hat Paketmanager

# rpm -qfV /lib*/libkeyutils*

Der Red Hat Package Manager vergleicht damit die MD5-Hashes der installierten Dateien mit denen der Paketdatenbank, wenn alles in Ordnung ist erhält man keine Ausgabe.

Debian basierte Systeme

# debsums -a -p /var/cache/apt/archives --generate=all libkeyutils1
/usr/share/doc/libkeyutils1/copyright OK
/usr/share/doc/libkeyutils1/changelog.Debian.gz OK
/lib/libkeyutils.so.1.3 OK

Hinweis: Debsums muss auf den meisten Systemen erst nachinstalliert werden.

Weitere Systeme

# find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'

Wir empfehlen auch auf allen weiteren Servern auf welche im genannten Zeitraum von einem möglicherweise kompromittierten Rechner per SSH zugegriffen wurde, die autorisierten SSH-Keys (~/.ssh/authorized_keys) und Passwörter zu ändern, da diese eventuell entwendet wurden.

Autor: