Op 17-02-2013 is er door cPanel bekend gemaakt dat er een rootkit in omloop is welke CentOS servers probeert aan te vallen. De Linux community is nog bezig met het onderzoeken van deze exploit. Wat al wel bekend is staat hieronder beschreven:
- Er wordt spam verstuurd met geïnfecteerde servers
- root pass wordt verstuurd via poort 53
- RHEL 5 en 6 vatbaar
- control panel onafhankelijk (cPanel/DA/ISPconfig etc)
Zolang er door de Linux community nog geen patch is gemaakt kan je de volgende stappen ondernemen indien je denkt dat je door deze rootkit getroffen bent:
- SSH naar server
- Voer het volgende commando uit: updatedb
- Voer het volgende commando uit: locate libkeyutils.so.1.9
- Als het bestand bestaat dan is de rootkit aanwezig en kan dit bestand verwijderd worden.
- Herinstalleer keyutils-libs(yum reinstall keyutils-libs)