关于以下方面:
b </s> </s> </ s> 18ro3c / sshd_rootkit /
显然,似乎有一堆红帽服务器正在通过库后台。 有没有人有如何跟踪和发现最初的违反联系的build议?
根据链接:
“听起来更像是通过php进入,然后一旦拥有root权限,就使用不好的库进行后门sshd。初始攻击向量不是sshd中的漏洞。
在进一步的阅读共识似乎是最初的攻击是通过cPanel在安全性较差的机器上完成的。 只有64位机器才能得到通过/lib64/libkeyutils.so.1.9完成的后备sshd,否则就不应该在系统上存在。
现在为什么基于PHP的漏洞最终允许根访问是神秘的。 可能是Apache使用root权限运行,因此PHP文件也被执行了类似的访问权限。 除非你以root权限运行PHP / Apache,否则应该有什么担心的。 正如所build议的“rpm -qf /lib/libkeyutils.so.1.9”命令可以用来查看你是否受到影响。