|
||
  |
  |
|
|
|
||||||
| Важная информация |
 |
|
|
|
Опции темы |
|
|
||
| |
|
|
|
|
||||||
| Важная информация |
|
|
|
|
Опции темы |
27.08.2008, 14:14
|
#1 |
|
Повелитель демонов
Регистрация: 31.03.2005
Адрес: УССР, г. Чернигов
Сообщений: 9,499
Вес репутации: 3218
|
Обнаружены активные атаки на Linux системы
US-CERT сообщила об обнаружении активных атак с использованием похищенных SSH ключей, которые направлены на Linux системы. Существует новый руткит под названием Phalanx2, который совместно с обычными задачами, также ворует все SSH ключи на системе. Затем, судя по всему, атакующие используют эти ключи (по крайней мере, те, для которых не был создан пароль) для доступа к другим системам. После получения доступа к системе, злоумышленники используют локальные эксплоиты для повышения привилегий.
Наличие Phalanx2 на системе можно определить по следующим признакам: Команда "ls" не отображает каталог "/etc/khubd.p2/", но в него можно зайти с помощью команды "cd /etc/khubd.p2" "/dev/shm/" может содержать файлы, которые использовались во время атаки Любая директория "khubd.p2" скрыта от команды "ls", но в нее можно зайти с помощью команды "cd" Изменения в конфигурации руткита могут изменить вышеописанные индикаторы атаки. Другие методы обнаружения могут включать поиск скрытых процессов на системе и сравнение количества ссылок в "/etc" по сравнению с количеством каталогов, отображаемых командой "ls". В случае обнаружения компрометации системы необходимо выполнить следующие действия: Везде, где возможно, запретить SSH аутентификацию, основанную на ключах. Произвести аудит всех SSH ключей на системах. Уведомить владельцев ключей о возможности потенциальной компрометации их ключа. В качестве проактивных мер рекомендуется: Выявить все системы, где SSH ключи используются как часть автоматического процесса. Как правило, такие ключи создаются без пароля и представляют повышенный интерес у злоумышленников. Заставить пользователей использовать пароли при создании ключей для уменьшения риска возможной компрометации. Проверить наличие последних исправлений безопасности на системах, подключенных к Интернет. Также потенциально опасную брешь представляют ключи, сгенерированные на Debian-подобных системах до установленного исправления, которое вышло несколько месяцев назад. Если вы не установили исправление или не сгенерировали новые ключи, сейчас это необходимо сделать в кратчайшие сроки. securitylab.ru
__________________
Последний раз редактировалось ALEX(XX); 27.08.2008 в 15:18 |
|
|
| Advertisement | |
Advertisement  |
|
|
27.08.2008, 16:31
|
#3 |
|
Project coordinator
Регистрация: 06.09.2006
Сообщений: 4,874
Вес репутации: 1704
|
Писать свою ОС.
__________________
Nick Golovko AVZ English UI Developer Anti-Virus & General Security Advisor |
|
|
|
27.08.2008, 18:04
|
#5 |
|
Helper
Регистрация: 05.07.2006
Сообщений: 1,102
Вес репутации: 335
|
в Линуксе руткиты появились еще до появления их в винде=)) только в Линуксе их еще установить проблематично и обычному юзеру иногда непостежимая задача=))
__________________
The only way to get smarter is by playing a smarter оpponent.. © |
|
|
|
|
28.08.2008, 02:06
|
#6 | ||
|
Banned
Регистрация: 23.04.2008
Сообщений: 314
Вес репутации: 0
|
Цитата:
Цитата:
|
||
|
|
|
|
19.09.2008, 19:56
|
#7 | ||
|
Full Member
Регистрация: 23.04.2007
Адрес: Frolovo MegaTown. Why Mega? I am living in Frolovo
Сообщений: 247
Вес репутации: 128
|
Цитата:
Они умудрились Информационную Безопасность к своим интересам приплести. Мол, Виндоуз - сакс, Линукс - рулез. Цитата:
Легче неумный неуёмный фанатизм финансировать. ЦЕСТ и всё прочее. Ссылка на статью с моими комментариями
__________________
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам! Последний раз редактировалось Shark; 19.09.2008 в 21:41 |
||
|
|
|
| Advertisement | |
Advertisement |
|
