Al parecer hay indicios de que hay un rootkit de ssh que está siendo usado para explotar servidores cPanel, y posteriormente enviar spam. La noticia la dió a conocer Steven de Rack911.com, un conocido experto en seguridad Linux y posteriormente fue confirmada por otras empresas.

Si bien todavía no se saben detalles sobre cómo se gana el acceso SSH al servidor, se sabe que:

• Afecta al panel WHM/cPanel.
• Con versiones actualizadas de ssh, con login restringido por pubkeys y puerto diferente al 22.
• Deberías tener un ojo abierto si tienes mucho spam en cola.
• Sistemas Operativos 64 bits: CentOS 5.x y 6.x, CloudLinux 5.x y 6.x
• Librería: /lib64/libkeyutils.so.1.9

Simple test para averiguar si estamos infectados

Corremos:

rpm -qf /lib64/libkeyutils.so.1.9

o bien

rpm -qf /lib64/libkeyutils.so.1

Y si el output que devuelve es este, es que estamos infectados:

file /lib64/libkeyutils.so.1.9 is not owned by any package

Si estás afectado, con remover la librería y reiniciar ssh ya no pueden ingresar otra vez al servidor, pero hasta que no se devele como ingresan, correrás el riesgo de verte afectado otra vez.

Para mantenerse informados sobre como evoluciona esto, pueden seguir el post original en WHT.

Otros artículos interesantes: