LINUX.ORG.RU

US-CERT предупреждает о продолжающейся атаке на Linux-системы

 , ,


0

0

Американское полугосударственное агентство компьютерной безопасности US-CERT (U.S. Computer Emergency Readiness Team) предупреждает об основанных на краже или взломе SSH-ключей "активных атаках" на Linux-системы. Атаки используют украденные ключи для получения исходного доступа к системе, чтобы затем, используя локальные уязвимости ядра, получить рутовый доступ и установить руткит, известный как phalanx2 (модификацию известного с 2005 года руткита phalanx). Он позволяет взломщику скрывать файлы, процессы и сокеты и включает в себя сниффер, tty-бэкдор и автоматическую самозагрузку при старте системы. Особенности работы руткита и возможные методы его обнаружения можно посмотреть на сайте US-CERT.

Для уменьшения опасности подвергнуться атаке, CERT рекомендует по возможности использовать пароли для доступа к системе вместо SSH-ключей, а также проверить системы аутентификации и наложить все необходимые патчи. Если подтвердится предположение, что атаки используют недавно выявленную уязвимость генератора случайных чисел в Debian, агентство, возможно, порекомендует отказаться от аутентификации по SSH-ключам и провести полный аудит затронутых систем.

>>> Подробности

>основанных на краже или взломе SSH-ключей "активных атаках" на Линукс-системы

>CERT рекомендует по возможности использовать пароли для доступа к системе вместо SSH-ключей

3.times { print "ha" } . Пааап, расскажи нам еще о взломе SSH-ключей на ночь?

volh ★★
()

> Если подтвердится предположение, что атаки используют недавно выявленную уязвимость генератора случайных чисел Дебиана, агентство, возможно, порекомендует отказаться от Дебиана

Irben ★★★
()
Ответ на: комментарий от volh

"Слушай внимательно. Жил был кулхацкер который смог объединить все компьютеры мира для ..." Примерно так наверное =D

anonymous
()
Ответ на: комментарий от alt0v14

> +1, и как они вобще ключи воруют?

На флэшке уносят

anonymous
()

То, о чём так долго говорили большевики -- случилось? Линукс занял настолько весомые позиции на IT-рынках, что за него всерьёз взялись хакеры и хакерята? Интересно будет посмотреть, сколько ошибок вытянет наружу возросшая популярность, и насколько быстро они будут подрезаться разработчиками.

one_more_hokum ★★★
()

US-TROLL предупреждает.

Обнаружение уязвимосте это хорошо, в боях закалится нерушимый GNU/Linux. Но вот трольское освещение новости в прессе удручает. Уязвимость-то не в SSH ключах, если их удаётся украсть.

Camel ★★★★★
()

кто нить сходите, прочитайте по ссылке? как воруют ssh ключи? и как они их будут использовать если на них парольные фразы?

anonymous
()
Ответ на: комментарий от anonymous

> как они их будут использовать если на них парольные фразы

Encourage users to use the keys with passphrase or passwords to reduce the risk if a key is compromised.

снижение риска но не его полное отстуствие

megabrain
()
Ответ на: комментарий от anonymous

> как воруют ssh ключи?

Выламывают двери в помещении, где стоит локалхост незадачливого пользователя, сливают ключи на флэшки, а потом подбирают к этим ключам серваки и получают к ним доступ. Если на ключе пароль, то выламывают не только двери, но и части тела пользователя, пока пароль не проявится.

name_no ★★
()

Мде. А не легче сразу подсмотреть пароль локального юзверя?

Да и "local kernel exploits" от системы к системе разные. Отдельные джедаи еще на 2.2 сидятъ.

ZloySergant
()

Интересно - а кому прийдёт в голову открывать ssh с авторизацией по ключу в открытую сеть? Может, тогда и root-у разрешить коннектиться по ssh? Или сразу в баню с гомосеками?

Pronin ★★★★
()
Ответ на: комментарий от name_no

если таким методом воровать ssh ключи,
то даже под Windows есть ssh сервера с аутентификацией по ключам

arum ★★
()
Ответ на: комментарий от arum

>Отдельные джедаи еще на 2.2 сидятъ

Вот экстремалы, я пока с 2.0 уходить не собираюсь, сырое еще 2.2...

anonymous
()
Ответ на: комментарий от Pronin

>Интересно - а кому прийдёт в голову открывать ssh с авторизацией по ключу в открытую сеть?

Назовите мне инной метод удаленного администрирования? Рекомендуете MS RDP?

anonymous
()

Бред какой-то. А если какеры начнут воровать пароли к линукс-серверам, эта шарашка порекомендует и паролями тоже не пользоваться?

annoynymous ★★
()
Ответ на: комментарий от anonymous

>> Вот экстремалы, я пока с 2.0 уходить не собираюсь, сырое еще 2.2...

Дык, допиливайте, батенька, допиливайте! :D

anonymous
()
Ответ на: комментарий от anonymous

> а что, кто-то использует ключи, без пассфрейз? ССБЗ

Использую ключи, чтобы мои скрипты могли подключаться через ssh. Т.е. именно для того, чтобы без пароля можно было соединяться.

Nelud
()

>Phalanx2 appears to be a derivative of an older rootkit named “phalanx”. Phalanx2 and the support scripts within the rootkit, are configured to systematically steal SSH keys from the compromised system. These SSH keys are sent to the attackers, who then use them to try to compromise other sites and other systems of interest at the attacked site.

Т.е. если на server1 есть ключ к server2, на втором - к server3 и т.д.?...

Плюс, упоминается Debian random number generator flaw... Только вот - неужели кто-то ещё не обновил систему и не получил&применил openssh-blacklist, openvpn-blacklist и т.д.?...

anonymous
()
Ответ на: комментарий от anonymous

>>Интересно - а кому прийдёт в голову открывать ssh с авторизацией по ключу в открытую сеть?

>Назовите мне инной метод удаленного администрирования? Рекомендуете MS RDP?

ssh с авторизацией по парольной фразе. Причем не давать root-у возможность входить по ssh. А что касается windows - тут уж её выпускать в открытую сеть и вовсе не рекомендуется. В пределах предприятия - ещё нормально, а если уж через открытую сеть, то только по VPN-у...

Pronin ★★★★
()

А если кто-то известный утонет, запретим все жидкости и откажемся от их использования?

Информация о уязвимости ключей прошла почти пол года назад. И кто виноват в том что кому-то влом обновиться???

anonymous
()

К дебиану вроде-бы патч ключи генерировал заново при установке...

Harliff ★★★★★
()
Ответ на: комментарий от Pronin

>Причем не давать root-у возможность входить по ssh.

+1

Так же можно ssh с 22 порта на другой повесить, что бы боты не так доставали...

Harliff ★★★★★
()
Ответ на: комментарий от Harliff

>Так же можно ssh с 22 порта на другой повесить, что бы боты не так доставали...

и приветственное сообщение поменять

ale ★★
()
Ответ на: комментарий от Pronin

> Причем не давать root-у возможность входить по ssh.

А в чем поинт, если по ключам с парольной фразой? Заставить делать су/судо, вводя просто пароль, которой можно подглядеть из-за плеча?

sv75 ★★★★★
()
Ответ на: комментарий от sv75

> А в чем поинт

только в том что на linux заранее известен логин суперпользователя, а на бсд ещё надо угадать имя аккаунта у которого есть sudo. Причём, настроить систему нужным образом никто не мешает ни в линухе ни в бсде. Те кто орут что вход под рутом широченная дыра в безопасности просто фанатики, их не стоит слушать.

true_admin ★★★★★
()
Ответ на: комментарий от ale

>и приветственное сообщение поменять

И поставить denyhosts

anonymous
()
Ответ на: комментарий от true_admin

'linux заранее известен логин суперпользователя, а на бсд ещё надо угадать имя аккаунта у которого есть sudo'

Непонятен мне ход мысли сей... Вы наверно хотите сказать, что в bsd PermitRootLogin No, а в Linux обязательно Yes ? Таки неправда.

Но по-большему счету это все мелочи.

Valmont ★★★
()
Ответ на: комментарий от true_admin

>только в том что на linux заранее известен логин суперпользователя, а на бсд ещё надо угадать имя аккаунта у которого есть sudo. Причём, настроить систему нужным образом никто не мешает ни в линухе ни в бсде. Те кто орут что вход под рутом широченная дыра в безопасности просто фанатики, их не стоит слушать.

не вижу причин, почему Linux не будет работать если сделать что-то вроде sed -i 's@root@foo@1' /etc/passwd.

Более того, можно вместо шела руту прописать /bin/false (или /dev/null =) ), и добавить нового пользователя с uid равным 0.

ale ★★
()
Ответ на: комментарий от true_admin

>>только в том что на linux заранее известен логин суперпользователя,

Открываем /etc/passwd + /etc/shadow при помощи обычного текстового редактора. Меняем пользователя root на что нибудь истчо. Угадывай.

anonymous
()
Ответ на: комментарий от Valmont

> Непонятен мне ход мысли сей... Вы наверно хотите сказать, что в bsd PermitRootLogin No, а в Linux обязательно Yes ?

нет, я сказал что это как раз наоборот меняется на любой системе. Как админ настроит так и будет.

> не вижу причин, почему Linux не будет работать

скрипты которые думают root это суперпользователь поломаются, но разве я где-то говорил что не будет работать?

Моя мысль простая: запрет на вход руту по ssh если и увеличивает безопасность то очень слабо и уповать на это не стоит.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

>скрипты которые думают root это суперпользователь поломаются, но разве я где-то говорил что не будет работать?

не буду говорить, что я думаю об этих скриптах (да и вероятно мало таких скриптов). Но, как насчет второго варианта, повторюсь: "Более того, можно вместо шела руту прописать /bin/false (или /dev/null =) ), и добавить нового пользователя с uid равным 0."

ale ★★
()

Жаль , что мы так и не услышали, как воруются ssh ключи.

anonymous
()

вот и в "волшебный мир Linux" - приходит "осознанная необходимость" 2Way -аутентификации.

p.s. лучше бы написали о remote control в BGP(после чегоm и началась травля US Gov агенствами - персоналас CISO, намеревавшегося - уведомить и пофиксить). http://it.slashdot.org/it/08/08/27/0141247.shtml

anonymous
()
Ответ на: комментарий от ale

> не буду говорить, что я думаю об этих скриптах (да и вероятно мало таких скриптов).

Для того и придумывали /etc/passwd чтобы не париться с uid. А по твоей логике надо в скриптах uidы указывать, а это неправильно. Погрепай у себя в /etc и найдёшь много интересного. Приведу пару наглядных примеров:

генту:

./ntpd: start-stop-daemon --stop --name ntpd --user root

дебиян:

./bind9: chown root:bind /var/run/bind/run >/dev/null 2>&1 || true

./sysklogd: chown root:adm /dev/xconsole

фря:

./rc.subr: chown root:wheel $_cur $_cur,v

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

>Для того и придумывали /etc/passwd чтобы не париться с uid. А по твоей логике надо в скриптах uidы указывать, а это неправильно. Погрепай у себя в /etc и найдёшь много интересного. Приведу пару наглядных примеров:

начну с примеров. (gentoo у меня) погрепал (find /etc/init.d/ -type f | xrags grep root | grep -v cvsroot) упоминания только о root filesystem (ntpd нет, зато есть apache, mysql, postresql, sshd и samba по чистой случайности, помимо этого есть иксы и пр.)

далее про uid'ы, конечно писать везде исключительно юиды - большое зло, но для проверки имеет ли текущий пользователь полномочия суперпользователя проверка юида на ноль пойдет вполне.

следующий момент, программы, вызываемые из скриптов из инит-д чаще меняю полномочия с суперпользователя на пользователя без шела. Так что накрайняк в нескольких скриптах можно и подправить.

И последнее, повторюсь и скажу третий раз: "Более того, можно вместо шела руту прописать /bin/false (или /dev/null =) ), и добавить нового пользователя с uid равным 0."

ale ★★
()
Ответ на: комментарий от Pronin

>ssh с авторизацией по парольной фразе.

Угу. Особенно если подсунут кейлоггер.

anonymous
()
Ответ на: комментарий от anonymous

> Открываем /etc/passwd + /etc/shadow при помощи обычного текстового редактора. Меняем пользователя root на что нибудь истчо. Угадывай.

Зачем угадывай? /etc/passwd открыт для чтения любому :)

anonymous
()

Странно, почему никто не сказал "решето"?

lester_dev ★★★★★
()
Ответ на: комментарий от anonymous

>Открываем /etc/passwd + /etc/shadow при помощи обычного текстового редактора. Меняем пользователя root на что нибудь истчо. Угадывай.

Можно уж сразу удалить нафиг строку рута. :)

anonymous
()
Ответ на: комментарий от ale

ты никак не поймёшь что это не добавит секурности твоей тачке.

1) Кроме гемороя ничего не добавит

2) я бы не сказал что код типа "`id -u`" == 0 смотрится так же читабельно как "`whoami`" == "root".

3) если уж руки чешуться то надо не юзеров переименовывать а настраивать фаервол или ssh пропатчить так чтобы можно было соединиться только с особым клиентом.

true_admin ★★★★★
()

У меня на серваке PermitRootLogin no, логинюсь через SSH-ключик, ключик на флешке, я в шоколаде или нет?

Sphinx ★★☆☆
()
Ответ на: комментарий от Sphinx

>У меня на серваке PermitRootLogin no, логинюсь через SSH-ключик, ключик на флешке, я в шоколаде или нет?

Нет. Вот как раз про это и написано :)

Всё-таки иногда нужно ходить по ссылкам и читать "рекомендации лучших собаководов"...

"Удобно" не всегда означает "надёжно" или "безопасно" ;)

Pronin ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.