[opennet][решето] Этот ваш CentOS

Давай для Ъ-версию!

Там история про то, как в процессе построения ботнета было сломано несколько центос-серверов. И как эти поломанные сервера потом анализировали.

Смотря как и через что они были сломаны.

Conclusion:

We have currently analyzed only a fraction of the available Duqu C&C servers. However, we were able to determine certain facts about how the infrastructure operated:

• The Duqu C&C servers operated as early as November 2009.
  
• Many different servers were hacked all around the world, in Vietnam, India, Germany, Singapore, Switzerland, the UK, the Netherlands, Belgium, South Korea to name but a few locations. Most of the hacked machines were running CentOS Linux. Both 32-bit and 64-bit machines were hacked.
  
• The servers appear to have been hacked by bruteforcing the root password. (We do not believe in the OpenSSH 4.3 0-day theory - that would be too scary!)
  
• The attackers have a burning desire to update OpenSSH 4.3 to version 5 as soon as they get control of a hacked server.
  
• A global cleanup operation took place on 20 October 2011. The attackers wiped every single server which was used even in the distant past, e.g. 2009. Unfortunately, the most interesting server, the C&C proxy in India, was cleaned only hours before the hosting company agreed to make an image. If the image had been made earlier, it’s possible that now we’d know a lot more about the inner workings of the network.
  
• The “real” Duqu mothership C&C server remains a mystery just like the attackers’ identities.

We would also like to send a question to Linux admins and OpenSSH experts worldwide – why would you update OpenSSH 4.3 to version 5.8 as soon as you hack a machine running version 4.3? What makes version 5.8 so special compared to 4.3? Is it related to the option “GSSAPIAuthentication yes” in the config file?

[blockquote]The servers appear to have been hacked by bruteforcing the root password. [/blockquote] Причем здесь ЦентОС?

The servers appear to have been hacked by bruteforcing the root password.

Причем здесь ЦентОС?

Причем здесь ЦентОС?

При том, что «Most of the hacked machines were running CentOS Linux. Both 32-bit and 64-bit machines were hacked.» С чего бы такое совпадение?

The servers appear to have been hacked by bruteforcing the root password. (We do not believe in the OpenSSH 4.3 0-day theory - that would be too scary!)

брутфорс

Ну и какое-же это решето?

Что-то последнее время всех тянет на неадекватную статистику и загадочные выводы.

То distrowatch со своим «посчитали не пойми что, выводы сделаем непонятно как», то sourceforge вдруг попиариться решил. Вот и вы ещё.

Понятно что на многих взломанных серверах стоял Centos. Он вообще на многих серверах стоит.

Спасибо, было сильно лень читать эти многа иностранных буков.

Kакая разница на какой ос стоит пароль рута «123456», руту разрешен ссх, и он открыт всему миру?

Решето в данном случае — мозги админов помянутых серверов.

Kакая разница на какой ос

Если разницы нет, то почему Most of the hacked machines were running CentOS Linux?

Он вообще на многих серверах стоит.

rhel, sles, ubuntu server, debian — где они все?

По тому, что центось таки популярная серверная платформа?

Что непонятного в фразе «_Most_ of the hacked machines were running CentOS Linux?

Так у них и спроси.

Вообще RHEL вряд ли будет в стороннем аудите участвовать, владелец ubuntu server просто никогда не заметит что он взломан, а sles и debian никому не нужны :)

владелец ubuntu server просто никогда не заметит что он взломан

позабавил, спасибо :)

Сам-то RHEL стабильный

владелец ubuntu server просто никогда не заметит что он взломан, а sles и debian никому не нужны :)

Где такую траву берёшь?

Проверял?

Я один раз наблюдал пренеприятнейшую картину на сервере как раз таки под управлением RHEL. Справедливости ради: не самой последней версии. Но всё-таки...

Не проверял, я читал новость на opennet'е. Там сказано в комментариях, что для некоторых пакетов в centos не приходят обновления по году.

Kaspersky Lab Expert

дальше не стал читать.

Стоп. Про CentOS понятно - я сам с некоторых пор к нему с недоверием отношусь.

Но ты же вроде как сказал:

Сам-то RHEL стабильный

Вот про это я и спросил. Из интереса к практическим результатам, а не теоретическим.

это была ловля на живца :)

Сужу по комментариям других людей, с отзывами о продукте.

VitalyK, Kaspersky Lab Expert

дальше не читал