US-CERT сообщила об обнаружении активных атак с использованием похищенных SSH ключей, которые направлены на Linux системы.
US-CERT сообщила об обнаружении активных атак с использованием похищенных SSH ключей, которые направлены на Linux системы. Существует новый руткит под названием Phalanx2, который совместно с обычными задачами, также ворует все SSH ключи на системе. Затем, судя по всему, атакующие используют эти ключи (по крайней мере, те, для которых не был создан пароль) для доступа к другим системам. После получения доступа к системе, злоумышленники используют локальные эксплоиты для повышения привилегий.
Наличие Phalanx2 на системе можно определить по следующим признакам:
В случае обнаружения компрометации системы необходимо выполнить следующие действия:
В качестве проактивных мер рекомендуется:
Также потенциально опасную брешь представляют ключи, сгенерированные на Debian-подобных системах до установленного исправления, которое вышло несколько месяцев назад. Если вы не установили исправление или не сгенерировали новые ключи, сейчас это необходимо сделать в кратчайшие сроки.