Ortalama 1 aydır sshd'daki güvenlik açığı nedir nedeğildir ya da sshd değilde o mu kurban ediliyor tarzında araştırmalarımız devam ediyor.Tuhafır her üretici kendince bir güncelleme (bu açık ile ilgili ) çıkarıyor.Tuhaftır ilk olarak cpanel destek sunucularından biri hacklendiği varsayıldı sonrasında bir proxy sunucusu hacklendi denildi ve bu durumun onlar yüzünden ortaya çıktığı söylendi fakat plesk kullanıcıları arasında bu vakadan nasibini almışlarda mevcut : ) cloud linux dediki arkadaş gelin ben çözdüm bu olayı güzel bir tarama ve temizleme scripti yayınladı kullanıcılarına fakat olay yine çözümlenemedi.Arkadaşlar bu olay bana sorarsanız cpanel directadmin plesk problemi değil tamamen ilk hedefte gösterilen sshd açığıdır.Bu açık sayesinde saldırgan sunucunu üzerinde sniff yapabileceği uygulamaları kurabiliyor , /etc/shadow çekip kullanıcıların şifrelerini ele geçirebiliyor , kendi spam scriptlerini kurup hattınızı kullanabiliyor.En aktif çözüm ssh erşimini kapatmanız ve sadece sizin ipi adresinize izin vermeniz olacaktır.Bu işlemi yapmadan önce sunucunuzu elden geçirmeniz gerekecen neden ? Çünkü mevcut açık sunucunuzda varsa ve exploit denenmiş ve başarı sağlanmış ise ssh kapatmanız root şifrenizi değiştirmeniz birşey ifade etmeyecek çünkü localdeki işlemleriniz yine remote bir makinaya gidecektir.O yüzden ilk olarak

#!/bin/bash

LIB64=/lib64/libkeyutils.so.1.9
LIB64_1=/lib64/libkeyutils-1.2.so.2
LIB32=/lib/libkeyutils.so.1.9
LIB32_1=/lib/libkeyutils-1.2.so.2

if [ -f $LIB64 ]; then
  echo The server is compromised, $LIB64 found
  exit 0
fi

if [ -f $LIB64_1 ]; then
  echo The server is compromised, $LIB64_1 found
  exit 0
fi


if [ -f $LIB32 ]; then
  echo The server is compromised, $LIB32 found
  exit 0
fi

if [ -f $LIB32_1 ]; then
  echo The server is compromised, $LIB32_1 found
  exit 0
fi

echo "Cannot find compromised library"
exit 1

 ile değiştirilen dosyamız varmı yokmu bulalım ...

#!/bin/bash

LIB64_13=/lib64/libkeyutils.so.1.3
LIB64_12=/lib64/libkeyutils-1.2.so
LIB64_1=/lib64/libkeyutils.so.1
LIB32_13=/lib/libkeyutils.so.1.3
LIB32_12=/lib/libkeyutils-1.2.so
LIB32_1=/lib/libkeyutils.so.1
LIB32=""
LIB64=""

LIB64_h1=/lib64/libkeyutils.so.1.9
LIB32_h1=/lib/libkeyutils.so.1.9
LIB64_h2=/lib64/libkeyutils-1.2.so.2
LIB32_h2=/lib/libkeyutils-1.2.so.2

LINK=""
BAD_LIB=""

if [ -f $LIB64_h1 ]; then
     BAD_LIB=$LIB64_h1
     LIB64="HACK"
fi

if [ -f $LIB64_h2 ]; then
     BAD_LIB=$LIB64_h2
     LIB64="HACK"
fi

if [ -f $LIB32_h1 ]; then
     BAD_LIB=$LIB32_h1
     LIB64=""
     LIB32="HACK"
fi

if [ -f $LIB32_h2 ]; then
     BAD_LIB=$LIB32_h2
     LIB64=""
     LIB32="HACK"
fi

#echo $BAD_LIB, 64, $LIB64, 32, $LIB32
if [ "x$LIB64" == "xHACK" ]; then
  LINK=$LIB64_1
  if [ -f $LIB64_12 ]; then
    FIX_LIB=$LIB64_12
  elif [ -f $LIB64_13 ]; then
    FIX_LIB=$LIB64_13
  else
    echo "Cannot find good libary, giving up"
    exit 1
  fi
fi

if [ "x$LIB32" == "xHACK" ]; then
  LINK=$LIB32_1
  if [ -f $LIB32_12 ]; then
    FIX_LIB=$LIB32_12
  elif [ -f $LIB32_13 ]; then
    FIX_LIB=$LIB32_13
  else
    echo "Cannot find good libary, giving up"
    exit 1
  fi
fi

if [ ! -z "$FIX_LIB" ]; then
#  echo $LINK, $FIX_LIB $BAD_LIB
  rm -f $LINK
  ln -s $FIX_LIB $LINK
  rm -f $BAD_LIB
  echo "Clean up is done, please reboot the server ASAP"
else
  echo "Cannot find compromised library"
fi

Varsa bu bash ile de temizleyelim.Bunlar ile yetinmek istemiyorum ben derseniz , cpanel ' in

http://docs.cpanel.net/twiki/bin/view/AllDocumentation/CompSystem

önerilerini de dikkatle uygulayabilirsiniz.Sonrasında root password değiştir , ssh kapa sade senin ip izin ver ve daha kalıcı bir çözüm için bekle az kaldı : )