Giorni fa mi è arrivata una mail da parte dello staff di Cpanel dove veniva indicato che alcuni loro server erano stati compressi e quindi chiedevano ai clienti di controllare i loro server per capire se erano stati compressi. Ahimè un mio server è stato compresso e sono corso subito ai ripari.
Questo exploit colpisce solo distribuzioni Centos, Cloudlinux e Cpanel, ma ci sono casi in cui anche altre distribuizioni e relativi pannelli di controllo sono stati compromessi.
Per capire cosa fare vi lascio la guida postata dal Team di Cpanel
http://go.cpanel.net/checkyourserver
Questo servirà a capire se il vostro server è stato compromesso e questo link
http://www.cloudlinux.com/blog/clnews/sshd-exploit.php
Del team di CloudLinux dove vengono utilizzati due script uno per rilevare se il vostro server è stato compromesso e l'altro (che come dice la guida non è stato testato pienamente e che quindi potrebbe creare problemi) per rimuovere la libreria compromessa.
Una volta eseguiti i dovuti controlli nel caso in cui il server risulti compromesso, prima di eseguire qualsiasi azione è importante fare un backup dei vostri dati e di tutto ciò che non può essere più recuperato. Messi in sicurezza i dati procedere alla risoluzione del problema e subito dopo il riavvio accingersi a cambiare le password dei server.