-
Обнаружены активные атаки на Linux системы
US-CERT сообщила об обнаружении активных атак с использованием похищенных SSH ключей, которые направлены на Linux системы. Существует новый руткит под названием Phalanx2, который совместно с обычными задачами, также ворует все SSH ключи на системе. Затем, судя по всему, атакующие используют эти ключи (по крайней мере, те, для которых не был создан пароль) для доступа к другим системам. После получения доступа к системе, злоумышленники используют локальные эксплоиты для повышения привилегий.
Наличие Phalanx2 на системе можно определить по следующим признакам:
Команда "ls" не отображает каталог "/etc/khubd.p2/", но в него можно зайти с помощью команды "cd /etc/khubd.p2"
"/dev/shm/" может содержать файлы, которые использовались во время атаки
Любая директория "khubd.p2" скрыта от команды "ls", но в нее можно зайти с помощью команды "cd"
Изменения в конфигурации руткита могут изменить вышеописанные индикаторы атаки. Другие методы обнаружения могут включать поиск скрытых процессов на системе и сравнение количества ссылок в "/etc" по сравнению с количеством каталогов, отображаемых командой "ls".
В случае обнаружения компрометации системы необходимо выполнить следующие действия:
Везде, где возможно, запретить SSH аутентификацию, основанную на ключах.
Произвести аудит всех SSH ключей на системах.
Уведомить владельцев ключей о возможности потенциальной компрометации их ключа.
В качестве проактивных мер рекомендуется:
Выявить все системы, где SSH ключи используются как часть автоматического процесса. Как правило, такие ключи создаются без пароля и представляют повышенный интерес у злоумышленников.
Заставить пользователей использовать пароли при создании ключей для уменьшения риска возможной компрометации.
Проверить наличие последних исправлений безопасности на системах, подключенных к Интернет.
Также потенциально опасную брешь представляют ключи, сгенерированные на Debian-подобных системах до установленного исправления, которое вышло несколько месяцев назад. Если вы не установили исправление или не сгенерировали новые ключи, сейчас это необходимо сделать в кратчайшие сроки.
securitylab.ru
Последний раз редактировалось ALEX(XX); 27.08.2008 в 15:18.
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
в Windows - руткиты, в Линукс - руткиты... куда бедному юзеру податься? .
-
-
Писать свою ОС.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Или вернуться на ZX Spectrum.
Интересно... Если Др.Веб КурИт, то НОД32 ПьЁт? :)
-
в Линуксе руткиты появились еще до появления их в винде=)) только в Линуксе их еще установить проблематично и обычному юзеру иногда непостежимая задача=))
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
santy
в Windows - руткиты, в Линукс - руткиты... куда бедному юзеру податься?
Сообщение от
NickGolovko
Писать свою ОС.
Из юзеров не в админы, а сразу в кодеры. Да, линуксоидам это проще, чем виндузятникам, имхо.
-
Из юзеров не в админы, а сразу в кодеры. Да, линуксоидам это проще, чем виндузятникам, имхо.
Не, им проще Windows хаять на каждом углу. А то, что простому пользователю Линь никак не настроить - кого это волнует?
Они умудрились Информационную Безопасность к своим интересам приплести. Мол, Виндоуз - сакс, Линукс - рулез.
Да, коллега, пора бы уже. Только финансировать разработку некому.
Легче неумный неуёмный фанатизм финансировать. ЦЕСТ и всё прочее.
Ссылка на статью с моими комментариями
Последний раз редактировалось Shark; 19.09.2008 в 21:41.
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!