Обнаружены активные атаки на Linux системы

image

Теги: взлом, Linux

US-CERT сообщила об обнаружении активных атак с использованием похищенных SSH ключей, которые направлены на Linux системы.

US-CERT сообщила об обнаружении активных атак с использованием похищенных SSH ключей, которые направлены на Linux системы. Существует новый руткит под названием Phalanx2, который совместно с обычными задачами, также ворует все SSH ключи на системе. Затем, судя по всему, атакующие используют эти ключи (по крайней мере, те, для которых не был создан пароль) для доступа к другим системам. После получения доступа к системе, злоумышленники используют локальные эксплоиты для повышения привилегий.
Наличие Phalanx2 на системе можно определить по следующим признакам:

  • Команда "ls" не отображает каталог "/etc/khubd.p2/", но в него можно зайти с помощью команды "cd /etc/khubd.p2"
  • "/dev/shm/" может содержать файлы, которые использовались во время атаки
  • Любая директория "khubd.p2" скрыта от команды "ls", но в нее можно зайти с помощью команды "cd"
  • Изменения в конфигурации руткита могут изменить вышеописанные индикаторы атаки. Другие методы обнаружения могут включать поиск скрытых процессов на системе и сравнение количества ссылок в "/etc" по сравнению с количеством каталогов, отображаемых командой "ls".

В случае обнаружения компрометации системы необходимо выполнить следующие действия:

  • Везде, где возможно, запретить SSH аутентификацию, основанную на ключах.
  • Произвести аудит всех SSH ключей на системах.
  • Уведомить владельцев ключей о возможности потенциальной компрометации их ключа.

В качестве проактивных мер рекомендуется:

  • Выявить все системы, где SSH ключи используются как часть автоматического процесса. Как правило, такие ключи создаются без пароля и представляют повышенный интерес у злоумышленников.
  • Заставить пользователей использовать пароли при создании ключей для уменьшения риска возможной компрометации.
  • Проверить наличие последних исправлений безопасности на системах, подключенных к Интернет.

Также потенциально опасную брешь представляют ключи, сгенерированные на Debian-подобных системах до установленного исправления, которое вышло несколько месяцев назад. Если вы не установили исправление или не сгенерировали новые ключи, сейчас это необходимо сделать в кратчайшие сроки.


или введите имя

CAPTCHA
Страницы: 1  2  
1
27-08-2008 12:56:07
А как он может попасть в систему?
0 |
1
27-08-2008 13:02:12
сначала кто-то ворует SSH-ключи - на ЛОРе уже обсудили...
0 |
1
28-08-2008 13:31:05
Если кому интересно: Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов, а также при наличии беспарольных ssh входов с другой атакованной системы, осуществляется попытка проникновения на машину. В случае удачи создается "черный ход" - в файлы .ssh/known_hosts и .ssh/authorized_keys вносятся изменения, позволяющие злоумышленнику или червю в дальнейшем, после смены пароля пользователя, повторно проникать в систему через аутентификацию по ключам в ssh. Далее производится попытка получения привилегий суперпользователя, путем применения vmsplice (?) эксплоита для Linux ядра. И в заключении, начальная фаза атаки завершается установкой rootkit комплекта phalanx2, скрывающего файлы, процессы и сокеты злоумышленника, а также осуществляющего сниффинг локальных паролей. Определить наличие данного руткита можно осуществив переход в скрытую директорию /etc/khubd.p2 (ls ничего не покажет, но переход по cd сработает). Интересной особенностью является возможность распространения червя по ssh ключам - на успешно атакованной машине производится поиск всех ssh ключей, по которым возможен беспарольный вход на другие машины, далее червь пытается зайти на те машины и продолжить свое распространение.Чёй-то не пойму панику... или в CERT башню снесло 1. Угроза атака по перебору была всегда, устраняется лимитом входов с одного IP, МАС, login_а не более 3-х ошибок в час, 20 в день. 2. Атака по простым паролям, так же, постоянная беда, устраняется запретом на простоту, длину, содержание - две заглавные, две строчные, две цифры, два печатных символа, далее по вкусу. С помощью John The Ripper проверяем по worldlist_y. Для двухязычных юзеров, это ещё легче, - написать куплет из Мурки ввиде пароля милое дело. типа: Там сидела Мурка в кожаной тужурке, а из под полы торчал наган. Nfv cbltkf Vehrf d rj;fyjq ne;ehrt? f bp gjl gjks njhxfk yfufy. Все, пипец, ЦРУ сосёт. 3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда даже не обидно что его хакнут.
0 |
1
27-08-2008 15:04:07
тоесть ему сначала нужен прямой доступ к машине, потом рутовый пароль (или, если сложатся звезды, рабочий експлойт), потом еще найти систему, которая без пароля, только по ключу пропустит... Это прямо таки страшная атака всего один раз видел машину, которая без пароля по ssh пускала. и то в далеком 2001 году.
0 |
1
27-08-2008 15:38:42
Речь идет об авторизации по ключу, вместо пароля.
0 |
1
27-08-2008 16:40:03
Речь идет об авторизации по ключу, вместо пароля. А авторизацию по ключу + по паролю уже отменили?
0 |
1
27-08-2008 16:42:11
Он вроде как это и сказал
0 |
1
28-08-2008 11:10:33
никогда не использую беспарольный ssh гы )))
0 |
1
27-08-2008 17:46:08
Да по ключу. Который получают через Астрал.
0 |
1
27-08-2008 18:00:29
Луноходы-вешайтесь! Это только цветочки. Вы добивались, просто кипятком ссали, роста популярности своей системы? Так теперь получите. Популярность имеет обратную сторону.
0 |
1
27-08-2008 19:03:42
Луноходы-вешайтесьТолько после тебя. Это в первую очередь атака на SSH и слабо защищённые системы, а значит, потенциально под угрозой любой компьютер, на котором используется данный протокол и работают криворукие админы. И под твой любимый вантуз напишут. Только там это будет гораздо опаснее.
0 |
1
27-08-2008 22:17:04
Признаю, признаю: болван я. Все время что-то не по теме выкрикиваю. Простите меня.
0 |
1
28-08-2008 00:33:56
Это только цветочки. Вы добивались, просто кипятком ссали, роста популярности своей системы? Так теперь получите. Популярность имеет обратную сторону. Обнаружена мегаопасная уязвимость в Windows: при включенном RDP злоумышленники, знающие пароль могут удаленно получить полный контроль над машиной. Вешайтесь, виндузятники!!! Ликбез: 1) авторизация по ключу по умолчанию не включена(нужно явно добавлять публичный ключ в athorized_keys), 2) получить приватный ключ для SSH не проще, чем получить пароль для RDP, 3) сам ключ, с помощью которого происходит авторизация, может быть зашифрован(запаролирован) 4) руткиты были и раньше, которые позволяли снифать пароли от ftp,ssh-клиентов,telnet,pop3 с vty.
0 |
1
28-08-2008 07:50:10
Обнаружена мегаопасная уязвимость в Windows: при включенном RDP злоумышленники, знающие пароль могут удаленно получить полный контроль над машиной. Вешайтесь, виндузятники!!! Троллинг.1) авторизация по ключу по умолчанию не включена(нужно явно добавлять публичный ключ в athorized_keys), Поэтому и говорю, что бы луноходы вешались. Линуксоидам это пока не страшно. 2) получить приватный ключ для SSH не проще, чем получить пароль для RDP, Бла-бла-бла.3) сам ключ, с помощью которого происходит авторизация, может быть зашифрован(запаролирован) Без тебя знаю.4) руткиты были и раньше, которые позволяли снифать пароли от ftp,ssh-клиентов,telnet,pop3 с vty. Точно, только значительно меньше. Ликбез: Луноход(определение по проэкту Антитролль)- визгливый тупой школьник, установивший с 15 раза линух, что бы повые...ся беред друзьями-даунами.
0 |
1
28-08-2008 11:13:35
"тупой школьник" не сумеет настроить беспарольный ssh )))))))))))
0 |
1
28-08-2008 17:57:26
"тупой школьник" не сумеет настроить беспарольный ssh ))))))))))) 1) Настроить можно, но не просто; 2) Но реально проблема, чтоб такая херня в голову пришла.
0 |
1
29-08-2008 01:02:55
Цитата 1) авторизация по ключу по умолчанию не включена(нужно явно добавлять публичный ключ в athorized_keys), Поэтому и говорю, что бы луноходы вешались. Луноход(определение по проэкту Антитролль)- визгливый тупой школьник, установивший с 15 раза линух, что бы повые...ся беред друзьями-даунами. Значит луноходам ничего не грозит, потому что настроить авторизацию по RSA или DSA ключу они не смогут.
0 |
1
29-08-2008 14:51:46
Троллинг.Антисемитизм!
0 |
1
01-09-2008 08:05:38
Для винды можно придумать аналог - тырится хэш локального админа и под ним тыкаемся в соседние машины. Только сначала админа получить надо А на линупсе как?
0 |
1
27-08-2008 20:07:17
Это на столько мало вероятно, что просто не вероятно... И даже если у какого то оДминко украли безпарольный кей, то он полный идиот и того заслуживает.
0 |
1
27-08-2008 20:54:30
А что вы хотели, чем популярней становится ОС, тем болльше всяких дыр и уязвимостей в ней находят, и тут ничего не поделаеш... Боюсь даже представить что будет с линуксом если его популярность выростет хотябы на 30%, в нём сразу отыщется столько дыр, и наделают всякой заразы под него, что мало не покажется... Вот ваш хвалённый линукс ! Нету идеальной зашищенной ОС. Всё дело в её распространенности, а если осью никто не пользуется(только еденицы энтузиастов), то и не вызывает никакого интереса и писателей вирусов и хакеров.... Так что уважаемые Линуксоиды, юзайте в тихушку свою ось и радуйтесь что она не кому пока не нужна...
0 |
1
27-08-2008 21:15:53
Благодаря открытости платформы, найденные дыры будут закрыты в считанные часы, максимум дни. А вот как быстро и качественно латаются дыры в венде - общеизвестно. Я, вот, боюсь представить, что будет с вендой, открой мелкософт хоть сколько-нибудь значащий кусочек своей чудо-платформы.
0 |
1
27-08-2008 22:25:00
Как я раньше не думал об этом?!! А вдруг уже завтра мой любимый Windows прибьют окончательно?! Пойду я хоть в последний раз Пасьянс-косынку разыграю напоследок, а то мало ли что.
0 |
1
27-08-2008 23:42:02
Иди сыграй скоро а то скоро в школу идти
0 |
1
28-08-2008 02:32:21
Я, вот, боюсь представить, что будет с вендой, открой мелкософт хоть сколько-нибудь значащий кусочек своей чудо-платформы.Фанатик, ты наверно не фкурсе, что исходники винды (ядра и большинства user-mode библиотек) давно в паблике, и каждый кому они нужны для работы их уже нашел и скачал. И не только win2K но и Win XP
0 |
1
28-08-2008 03:12:35
поделись сцылкой на исходники
0 |
1
28-08-2008 07:56:45
поделись сцылкой на исходники Зачем тебе исходники, клоун? антипенгвин правильно сказал, что большинство бибилиотек и COM-компонентов давно в паблике. Юзай-нехочу. Про повторное использование кода слышал? А про ООП? Это тебе сцылко для тренировки
0 |
1
28-08-2008 09:02:39
Что ты всем ключи от верхних этажей показываешь? Ты подвал открой - чтоб все увидели, что по ту сторону всех этих API крутится
0 |
1
28-08-2008 10:34:52
"Исходники мы дадим всем, но поскольку они никому реально не нужны, мы их никому не дадим".
0 |
1
28-08-2008 11:05:27
Что ты всем ключи от верхних этажей показываешь? Ты подвал открой - чтоб все увидели, что по ту сторону всех этих API крутится А оно тебе надо? Многие совершенно без этого обходятся и ничего, живут и процветают. Ишь, в подвал захотел! Может тебе еще и ключи от квартиры, где деньги лежат? )
0 |
1
28-08-2008 12:16:20
Так значит нет никаких исходников?
0 |
1
28-08-2008 13:19:48
Ага, а то, что десяток дырок можно поместить в 10Кб закрытого кода, ты, наверное, не в курсе?..
0 |
1
29-08-2008 14:31:07
Гость, ты не в курсе. Линус - болван, каких поискать. Изучи фактическую обстановку на фронте ИБ ядра, а стереотипы выбрость на помойку. На сегодня единственным серьезным подспорьем для обеспечения ИБ в линуксе является набор патчей PaX, далее - grsecurity. Я сам - пользователь Linux: использую Hardened Gentoo в работе и дома. Плюс OpenBSD, но речь пока не про нее.
0 |
1
29-08-2008 14:56:34
Ахтунг! Гентушнег в воздухе! ЗЫ: не проецируй свои цели и задачи, а также инструменты для их решения, на всех вокруг. У других людей могут быть цели и задачи, частично, или полностью несовместимые с твоими. Единственное спасибо за упоминание еще одних инструментов, на которые стоит обратить внимание.
0 |
1
29-08-2008 20:15:34
К Gentoo я отношусь, именно, как к инструменту. Что до личных предпочтений - мне гораздо ближе OpenBSD. Не надо меня учить отношению к чужой работе. Готовых решений на все случаи жизни я не предлагаю. Я отметил PaX и grsecurity, как действительно надежные средств защиты, альтернатив которым в мире линукса нет - нет объективно, технически. Факт. При этом они не применимы для решения многих задач - обратного я не утверждал. Например, ни PaX, ни grsecurity не работают с OpenVZ и ему подобными средствами виртуализации. Хватит искать проекции в каждом комменте.
0 |
1
28-08-2008 00:57:41
А что вы хотели, чем популярней становится ОС, тем болльше всяких дыр и уязвимостей в ней находят, и тут ничего не поделаеш... Боюсь даже представить что будет с линуксом если его популярность выростет хотябы на 30%, в нём сразу отыщется столько дыр, и наделают всякой заразы под него, что мало не покажется... Вот ваш хвалённый линукс ! Бла-бла-бла. Идиота, который раздаёт пароли и ключи ни Линукс ни какая другая ОС не вылечит и безопасность ОС здесь не при чём. Нету идеальной зашищенной ОС.Тут ты прав. Но даже если бы она существовала, то её можно было бы скомпрометировать если бы хозяин выбрал пароль "a", выложил бы ssh-ключ в общий доступ или зашёл а супербезопасную ОС удалённо с системы с установленным клавиатурным снифером. Всё дело в её распространенности, а если осью никто не пользуется(только еденицы энтузиастов), то и не вызывает никакого интереса и писателей вирусов и хакеров.... (зевая) Как уже надоели эти сказки про малую распространенность Линукса, который является САМОЙ РАСПРОСТРАНЕННОЙ ОС В МИРЕ на Интернет-серверах. А сервера гораздо ценней для блекхетов, чем какие-то персональные корытца. юзайте в тихушку свою ось и радуйтесь что она не кому пока не нужна...Уважаемый, несите ваш бред в тихушку. Или пообщайтесь с Google, IBM, Oracle, HP, Deutche Bank AG, CERN, BMW, Audi, Siemens и др., чтобы открыть им глаза на ненужность Linux, который они зачем-то используют в своей деятельности.
0 |
1
28-08-2008 02:38:16
А сервера гораздо ценней для блекхетов, чем какие-то персональные корытца.Бред. Для "блекхетов" интересны ботнеты. А ботнеты состоят из клиентских машин. Серверы для ботнетов мало пригодны, поятому не актуальны. А так действительно, чем больше популярность, тем больше на платформу внимания обращают. Это только ~1.8% линупса. Поднимется хотя бы до 4..5% найдут еще кучи дыр в студенческой поделке...
0 |
1
28-08-2008 10:33:31
еще кучи дыр в студенческой поделке... т.е. пользователи Linux, разрабатываемой профессионалами из Red hat, IBM , novell и Oracle могут не беспокоиться... И кстати, расскажите, когда же уже появятся эпидемии вирусов влезающих через Firefox, а то бедный IE как-то одинок. У FF уже 30%, а вирусов всё нет...
0 |
28-08-2008 12:57:26
то только ~1.8% линупсауважаемый антиПенгвин, будьте так любезны, не выставляйте себя бараном, нуждающимся в услугах логопеда или в установке корректора ввода. На крайний случай пишите Linux, иначе Вас трудно понять. кучи дыр в студенческой поделке... Вы лично знакомы со студентами из, ну к прмеру, проекта SuSe?
0 |
1
01-09-2008 08:10:01
ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС ЛИНУПС
0 |
1
28-08-2008 02:40:27
А сервера гораздо ценней для блекхетов, чем какие-то персональные корытца.Бред. Для "блекхетов" интересны ботнеты. А ботнеты состоят из клиентских машин. Серверы для ботнетов мало пригодны, поятому не актуальны. А так действительно, чем больше популярность, тем больше на платформу внимания обращают. Это только ~1.8% линупса. Поднимется хотя бы до 4..5% найдут еще кучи дыр в студенческой поделке...
0 |
1
29-08-2008 01:06:27
Бред. Для "блекхетов" интересны ботнеты. А ботнеты состоят из клиентских машин.Ладно, спорить не буду. Может быть и правда блекхэты деградировали с уровня взломщиков защищенных систем компаний, банков, онлайн-магазинов и процессинговых центров до уровня DDoS-кидов, спамеров и кардеров тырящих мелочь по карманам.
0 |
1
28-08-2008 12:22:00
Лучше б ты пошел свой мозг поюзал, мужики говорят, что вещь полезная. Так что уважаемый Форточник, когда поймешь свою беспросветную глупость, убейся в тихушку, чтобы другим не мешать..
0 |
1
29-08-2008 14:18:56
Да не волнуйся ты так. Сходи лучше сюда: http://www.grsecurity.org/features.php И сюда: http://www.gentoo.org/proj/en/hardened/primer.xml Изучи и пойми простую вещь: взрослые, технически грамотные люди уже сегодня могут защитить свою систему от целых классов самых серьезных уязвимостей. А завтра, с ростом популярности линукса, ядра с grsecurity+PaX по умолчанию возьмут на вооружение и производители некоторых бинарных дистрибутивов. Юзер будет очень неплохо защищен, совсем без усилий и без установки каких-либо антивирусов/файрволов.
0 |
1
28-08-2008 08:12:08
Красноглазым, где дыра не объявицца, всьо к линуксу отношения не имеет. линукскапец++;
0 |
1
28-08-2008 10:30:21
SSH говорите? А что, только Linux уязвим против таких атак?
0 |
Страницы: 1  2