Информация о многочисленных инцидентах появилась в Сети ещё несколько дней назад. Злоумышленники взламывают работающие под управлением Red Hat Enterprise Linux пятой и шестой версии серверы неизвестным способом. Уязвимы также машины с основанными на кодовой базе RHEL 5 и 6 дистрибутивами, такими, как CentOS. Специалисты по безопасности пока не смогли выяснить, какие методы используют хакеры, и говорят о некой неисправленной уязвимости в одном из доступных по Сети сервисов. На многих атакованных системах установлены панели управления cPanel, DirectAdmin, ISP config или Plesk. Не исключено, что именно через них происходит несанкционированный доступ к машинам.
Диагностировать заражение довольно просто: в системе волшебным образом появляется библиотека /lib64/libkeyutils.so.1.9 или /lib/libkeyutils.so.1.9 (в зависимости от архитектуры), после чего процесс sshd начинает передавать на удалённые хосты учётные данные авторизующихся через него пользователей (для обхода сетевых экранов используется протокол UDP и порт 53 — подозрительная активность маскируется под запросы к DNS). Кроме того, есть сведения, что заражённая машина включается в ботнет для рассылки спама и (возможно) дальнейших атак, а следы взлома удаляются из системных журналов. На днях в Сети появилась информация об обнаружении критической уязвимости в ядре Linux, но возможность её использования в этом случае специалисты считают маловероятной.