安全专家在linux中发现基于sshd的rootkit

楼主^#

更多发布于：2013-02-27 16:05


	internet Storm Center安全专家近日发表一篇报告，报告中称在linux系统中发现基于ssh服务的rootkit，使用RPM安装的系统会受到影响。报告中指出目前rootkit支持三个命令：Xver、XCAT、Xbnd，第一个命令打印rootkit版本，xCAT打印数据在会话中，并传回给攻击者，Xbnd命令设置一个监听器。该rootkit会替换服务器中的libkeyutils库，主要功能包括收集用户凭据，除账号密码之外，还可以收集RSA和DSA的私有密钥。通过以下命令可以查看服务器是否中招。 rpm -qfV /lib/libkeyutils 由于攻击者可能将其存储在不同的目录，还可以使用find命令来查找所有可疑的文件 # find / -name libkeyutils*