Организация US-CERT выпустила (http://www.us-cert.gov/current/#ssh_key_based_attacks) информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.Суть атаки в следующем: Путем перебора тривиальных паролей (http://hep.uchicago.edu/admin/report_072808.html) и типичных логинов, а также при наличии беспарольных ssh входов с другой атакованной системы, осуществляется попытка проникновения на машину.
В случае удачи создается "черный ход" - в файлы .ssh/known_hosts и .ssh/authorized_keys вносятся изменения, позволяющие злоумышленнику или червю в дальнейшем, после смены пароля пользователя, повторно проникать в систему через аутентификацию по ключам в ssh. Далее производится попытка получения привилегий суперпользователя, путем применения vmsplice (http://www.opennet.me/opennews/art.shtml?num=14141) (?) эксплоита для Linux ядра. И в заключении, начальная фаза атаки завершается установкой rootkit комплекта phalanx2, скрывающего файл...
URL: http://www.us-cert.gov/current/#ssh_key_based_attacks
Новость: http://www.opennet.me/opennews/art.shtml?num=17592
Не, ну всё понятно. Но как делается первый этап? Какая разница что там дальше происходит если первый этап надо для начала предотвратить?
>Не, ну всё понятно. Но как делается первый этап? Какая разница что
>там дальше происходит если первый этап надо для начала предотвратить?Идёте в sshd_config, смотрите значения PermitRootLogin, AllowGroups, PasswordAuthentication, справку по ним, прикидываете, корректируете.
Можно ещё на левый порт отвесить, чтоб сканирование "всех подряд" прошло мимо.
> Не, ну всё понятно. Но как делается первый этап?Путем использования лох-админов и плохо администряемых систем? :D
Чёй-то не пойму панику... или в CERT башню снесло1. Угроза атака по перебору была всегда, устраняется лимитом входов с одного IP, МАС, login_а не более 3-х ошибок в час, 20 в день.
2. Атака по простым паролям, так же, постоянная беда, устраняется запретом на простоту, длину, содержание - две заглавные, две строчные, две цифры, два печатных символа, далее по вкусу. С помощью John The Ripper проверяем по worldlist_y.
Для двухязычных юзеров, это ещё легче, - написать куплет из Мурки ввиде пароля милое дело.типа:
Там сидела Мурка в кожаной тужурке, а из под полы торчал наган.
Nfv cbltkf Vehrf d rj;fyjq ne;ehrt? f bp gjl gjks njhxfk yfufy.Все, пипец, ЦРУ сосёт.
3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда даже не обидно что его хакнут.
> US-CERTСовместно с ЦРУ ФБР АНБ,
> рекомендует администраторам серверов, запретить для пользователей
>этих машин беспарольную аутентификацию по SSH ключам.А то спец службам тяжело подбирать SSH ключи, plain-text трафик ловить легче.
> 1. Угроза атака по перебору была всегда, устраняется лимитом входов с
>одного IP, МАС, login_а не более 3-х ошибок в час, 20
>в день....чем-нить вроде sshutout или BlockHosts.
> 2. Атака по простым паролям, так же, постоянная беда, устраняется запретом
>на простоту, длину, содержание - две заглавные, две строчные, две цифры,
>два печатных символа, далее по вкусу. С помощью John The Ripper проверяем
>по worldlist_y.Хех, в альте достаточно не менять настройку pam_passwdqc, чтоб достаточно было проверялки в passwd ;-) Ну и apg есть.
>3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда
>даже не обидно что его хакнут.Недальновидная позиция. Даже если "за страну" не обидно, то ещё один хост в руках врагов -- это всегда больше неприятностей. Спама того же.
Да да, с неделю назад кто-то ломился, с италии и израиля.
Долбоидиоты. Рекомендации должны быть такие: denyhosts, knockd, rkhunter, chkrootkit, а не те глупости, что в статье.
как трудно на ключ простейший пароль поставить - просто охренеть..
Сейчас СМИ начнут пестрить статьями вроде "Разрушен миф безопасности Linux" Или "Linux полностью бесзащитен" или "Шок:Неустранимая бреш в безопасности Linux"
> Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.
> Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логиновЭтой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила напомнить о своём существовании?
>> Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.
>> Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов
>
>Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила
>напомнить о своём существовании?Наверно - типа - "Не сплю я Марйя Аванна не сплю!" :) - "вот про уязвимость узнал вот она свежая..... ну или когда засыпал была свежая....."
А что такое "без парольный" вход? :)
Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом на несколькл страниц начинается со слов узнаем пароль ползователя root, а дальше на 5 страниц как зная пароль нагадить в системе.
>Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом
>на несколькл страниц начинается со слов узнаем пароль ползователя root, а
>дальше на 5 страниц как зная пароль нагадить в системе.+100 :) в точку
надо статью про gssapi в ssh конфигах, что тогда вообше не нужен пароль или чтото там ешё ;)
фигасе эксплоит.
из-под непривилегированного юзера повесил CentOS 5.1 ядро 2.6.18
[user@localhost ~]$ ./a.out
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7d8a000 .. 0xb7dbc000
[-] vmsplice: Bad address
[user@localhost ~]$ uname -r
2.6.18-std-smp-alt12.M40.3Апдейты вообще-то стоит прикладывать. Да и про индуса (буквально), что занимается ядрами в кентосе, я уже давно людей предупреждаю...
Установка аунтификации только по ключам с парольной фразой, вход root - запрещен --- надежно защищает от таких глупых атак.