OpenForum RSS: OpenNews: US-CERT предупреждает об атаке на Linux системы с использованием SSH ключей https://www.opennet.me/openforum/vsluhforumID3/43540.html Организация US-CERT выпустила (http://www.us-cert.gov/current/#ssh_key_based_attacks) информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем. <br><br><br><br>Суть атаки в следующем: Путем перебора тривиальных паролей (http://hep.uchicago.edu/admin/report_072808.html) и типичных логинов, а также при наличии беспарольных ssh входов с другой атакованной системы, осуществляется попытка проникновения на машину.<br><br><br><br>В случае удачи создается "черный ход" - в файлы .ssh/known_hosts и .ssh/authorized_keys вносятся изменения, позволяющие злоумышленнику или червю в дальнейшем, после смены пароля пользователя, повторно проникать в систему через аутентификацию по ключам в ssh. Далее производится попытка получения привилегий суперпользователя, путем применения vmsplice (http://www.opennet.ru/opennews/art.shtml?num=14141) (?) эксплоита для Linux ядра. И в заключении, начальная фаза атаки завершается установкой rootkit комплекта phalanx2, скрывающего файл...<br><br>URL: http://www.us- US-CERT предупреждает об атаке на Linux системы с использова... (Никого_нет_всех_якши_унесли) https://www.opennet.me/openforum/vsluhforumID3/43540.html#20 Sat, 30 Aug 2008 11:30:35 GMT Установка аунтификации только по ключам с парольной фразой, вход root - запрещен --- надежно защищает от таких глупых атак.<br> US-CERT предупреждает об атаке на Linux системы с использова... (Michael Shigorin) https://www.opennet.me/openforum/vsluhforumID3/43540.html#19 Fri, 29 Aug 2008 15:02:15 GMT [user@localhost ~]$ ./a.out<br>-----------------------------------<br> Linux vmsplice Local Root Exploit<br> By qaaz<br>-----------------------------------<br>[+] mmap: 0x0 .. 0x1000<br>[+] page: 0x0<br>[+] page: 0x20<br>[+] mmap: 0x4000 .. 0x5000<br>[+] page: 0x4000<br>[+] page: 0x4020<br>[+] mmap: 0x1000 .. 0x2000<br>[+] page: 0x1000<br>[+] mmap: 0xb7d8a000 .. 0xb7dbc000<br>[-] vmsplice: Bad address<br>[user@localhost ~]$ uname -r<br>2.6.18-std-smp-alt12.M40.3<br><br>Апдейты вообще-то стоит прикладывать. Да и про индуса (буквально), что занимается ядрами в кентосе, я уже давно людей предупреждаю...<br> US-CERT предупреждает об атаке на Linux системы с использованием SSH ключей (maltsev) https://www.opennet.me/openforum/vsluhforumID3/43540.html#18 Fri, 29 Aug 2008 13:33:57 GMT фигасе эксплоит.<br>из-под непривилегированного юзера повесил CentOS 5.1 ядро 2.6.18<br> US-CERT предупреждает об атаке на Linux системы с использова... (Krivoy) https://www.opennet.me/openforum/vsluhforumID3/43540.html#17 Fri, 29 Aug 2008 07:08:42 GMT &gt;&gt; Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.<br>&gt;&gt; Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов<br>&gt;<br>&gt;Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила <br>&gt;напомнить о своём существовании? <br><br>Наверно - типа - "Не сплю я Марйя Аванна не сплю!" :) - "вот про уязвимость узнал вот она свежая..... ну или когда засыпал была свежая....."<br><br>А что такое "без парольный" вход? :)<br> US-CERT предупреждает об атаке на Linux системы с использова... (Krivoy) https://www.opennet.me/openforum/vsluhforumID3/43540.html#16 Fri, 29 Aug 2008 07:05:14 GMT &gt;Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом <br>&gt;на несколькл страниц начинается со слов узнаем пароль ползователя root, а <br>&gt;дальше на 5 страниц как зная пароль нагадить в системе. <br><br>+100 :) в точку<br> US-CERT предупреждает об атаке на Linux системы с использова... (User294) https://www.opennet.me/openforum/vsluhforumID3/43540.html#15 Thu, 28 Aug 2008 13:17:04 GMT &gt; Не, ну всё понятно. Но как делается первый этап?<br><br>Путем использования лох-админов и плохо администряемых систем? :D<br> US-CERT предупреждает об атаке на Linux системы с использованием SSH ключей (Zumu) https://www.opennet.me/openforum/vsluhforumID3/43540.html#14 Thu, 28 Aug 2008 11:57:13 GMT надо статью про gssapi в ssh конфигах, что тогда вообше не нужен пароль или чтото там ешё ;)<br> US-CERT предупреждает об атаке на Linux системы с использова... (Michael Shigorin) https://www.opennet.me/openforum/vsluhforumID3/43540.html#13 Thu, 28 Aug 2008 10:47:13 GMT &gt;Не, ну всё понятно. Но как делается первый этап? Какая разница что <br>&gt;там дальше происходит если первый этап надо для начала предотвратить? <br><br>Идёте в sshd_config, смотрите значения PermitRootLogin, AllowGroups, PasswordAuthentication, справку по ним, прикидываете, корректируете.<br><br>Можно ещё на левый порт отвесить, чтоб сканирование "всех подряд" прошло мимо.<br> US-CERT предупреждает об атаке на Linux системы с использова... (Michael Shigorin) https://www.opennet.me/openforum/vsluhforumID3/43540.html#12 Thu, 28 Aug 2008 10:42:37 GMT &gt; 1. Угроза атака по перебору была всегда, устраняется лимитом входов с <br>&gt;одного IP, МАС, login_а не более 3-х ошибок в час, 20 <br>&gt;в день. <br><br>...чем-нить вроде sshutout или BlockHosts.<br><br>&gt; 2. Атака по простым паролям, так же, постоянная беда, устраняется запретом <br>&gt;на простоту, длину, содержание - две заглавные, две строчные, две цифры, <br>&gt;два печатных символа, далее по вкусу. С помощью John The Ripper проверяем <br>&gt;по worldlist_y.<br><br>Хех, в альте достаточно не менять настройку pam_passwdqc, чтоб достаточно было проверялки в passwd ;-) Ну и apg есть.<br><br>&gt;3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда <br>&gt;даже не обидно что его хакнут. <br><br>Недальновидная позиция. Даже если "за страну" не обидно, то ещё один хост в руках врагов -- это всегда больше неприятностей. Спама того же.<br>