The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: US-CERT предупреждает об атаке на Linux системы с ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: US-CERT предупреждает об атаке на Linux системы с ..."  
Сообщение от opennews on 28-Авг-08, 03:19 
Организация US-CERT выпустила (http://www.us-cert.gov/current/#ssh_key_based_attacks) информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.

Суть атаки в следующем: Путем перебора тривиальных паролей (http://hep.uchicago.edu/admin/report_072808.html) и типичных логинов, а также при наличии беспарольных ssh входов с другой атакованной системы, осуществляется попытка проникновения на машину.

В случае удачи создается "черный ход" - в файлы .ssh/known_hosts и .ssh/authorized_keys вносятся изменения, позволяющие злоумышленнику или червю в дальнейшем, после смены пароля пользователя, повторно проникать в систему через аутентификацию по ключам в ssh. Далее производится попытка получения привилегий суперпользователя, путем применения vmsplice (http://www.opennet.me/opennews/art.shtml?num=14141) (?) эксплоита для Linux ядра. И в заключении, начальная фаза атаки завершается установкой rootkit комплекта phalanx2, скрывающего файл...

URL: http://www.us-cert.gov/current/#ssh_key_based_attacks
Новость: http://www.opennet.me/opennews/art.shtml?num=17592

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от kost BebiX email on 28-Авг-08, 03:34 
Не, ну всё понятно. Но как делается первый этап? Какая разница что там дальше происходит если первый этап надо для начала предотвратить?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Michael Shigorin email(ok) on 28-Авг-08, 14:47 
>Не, ну всё понятно. Но как делается первый этап? Какая разница что
>там дальше происходит если первый этап надо для начала предотвратить?

Идёте в sshd_config, смотрите значения PermitRootLogin, AllowGroups, PasswordAuthentication, справку по ним, прикидываете, корректируете.

Можно ещё на левый порт отвесить, чтоб сканирование "всех подряд" прошло мимо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от User294 (??) on 28-Авг-08, 17:17 
> Не, ну всё понятно. Но как делается первый этап?

Путем использования лох-админов и плохо администряемых систем? :D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от pavlinux (ok) on 28-Авг-08, 04:42 
Чёй-то не пойму панику... или в CERT башню снесло

1. Угроза атака по перебору была всегда, устраняется лимитом входов с одного IP, МАС, login_а не более 3-х ошибок в час, 20 в день.

2. Атака по простым паролям, так же, постоянная беда, устраняется запретом на простоту, длину, содержание - две заглавные, две строчные, две цифры, два печатных символа, далее по вкусу.  С помощью John The Ripper проверяем по worldlist_y.
Для двухязычных юзеров, это ещё легче, - написать куплет из Мурки ввиде пароля милое дело.

типа:
     Там сидела Мурка в кожаной тужурке, а из под полы торчал наган.
     Nfv cbltkf Vehrf d rj;fyjq ne;ehrt? f bp gjl gjks njhxfk yfufy.

Все, пипец, ЦРУ сосёт.


3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда даже не обидно что его хакнут.


> US-CERT

Совместно с ЦРУ ФБР АНБ,
> рекомендует администраторам серверов, запретить для пользователей
>этих машин беспарольную аутентификацию по SSH ключам.

А то спец службам тяжело подбирать SSH ключи, plain-text трафик ловить легче.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Michael Shigorin email(ok) on 28-Авг-08, 14:42 
> 1. Угроза атака по перебору была всегда, устраняется лимитом входов с
>одного IP, МАС, login_а не более 3-х ошибок в час, 20
>в день.

...чем-нить вроде sshutout или BlockHosts.

> 2. Атака по простым паролям, так же, постоянная беда, устраняется запретом
>на простоту, длину, содержание - две заглавные, две строчные, две цифры,
>два печатных символа, далее по вкусу.  С помощью John The Ripper проверяем
>по worldlist_y.

Хех, в альте достаточно не менять настройку pam_passwdqc, чтоб достаточно было проверялки в passwd ;-)  Ну и apg есть.

>3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда
>даже не обидно что его хакнут.

Недальновидная позиция.  Даже если "за страну" не обидно, то ещё один хост в руках врагов -- это всегда больше неприятностей.  Спама того же.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Аноним (??) on 28-Авг-08, 06:16 
Да да, с неделю назад кто-то ломился, с италии и израиля.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Аноним (??) on 28-Авг-08, 07:10 
Долбоидиоты. Рекомендации должны быть такие: denyhosts, knockd, rkhunter, chkrootkit, а не те глупости, что в статье.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от just_another_anonymous on 28-Авг-08, 08:42 
как трудно на ключ простейший пароль поставить - просто охренеть..
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Alex (??) on 28-Авг-08, 10:16 
Сейчас СМИ начнут пестрить статьями вроде "Разрушен миф безопасности Linux" Или "Linux полностью бесзащитен" или "Шок:Неустранимая бреш в безопасности Linux"
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Frank email(??) on 28-Авг-08, 12:07 
> Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.
> Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов

Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила напомнить о своём существовании?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Krivoy (??) on 29-Авг-08, 11:08 
>> Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.
>> Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов
>
>Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила
>напомнить о своём существовании?

Наверно - типа - "Не сплю я Марйя Аванна не сплю!" :) - "вот про уязвимость узнал вот она свежая..... ну или когда засыпал была свежая....."

А что такое "без парольный" вход? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Аноним (??) on 28-Авг-08, 14:26 
Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом на несколькл страниц начинается со слов узнаем пароль ползователя root, а дальше на 5 страниц как зная пароль нагадить в системе.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Krivoy (??) on 29-Авг-08, 11:05 
>Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом
>на несколькл страниц начинается со слов узнаем пароль ползователя root, а
>дальше на 5 страниц как зная пароль нагадить в системе.

+100 :) в точку

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Zumu on 28-Авг-08, 15:57 
надо статью про gssapi в ssh конфигах, что тогда вообше не нужен пароль или чтото там ешё ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от maltsev (??) on 29-Авг-08, 17:33 
фигасе эксплоит.
из-под непривилегированного юзера повесил CentOS 5.1 ядро 2.6.18
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Michael Shigorin email(??) on 29-Авг-08, 19:02 
[user@localhost ~]$ ./a.out
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7d8a000 .. 0xb7dbc000
[-] vmsplice: Bad address
[user@localhost ~]$ uname -r
2.6.18-std-smp-alt12.M40.3

Апдейты вообще-то стоит прикладывать.  Да и про индуса (буквально), что занимается ядрами в кентосе, я уже давно людей предупреждаю...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "US-CERT предупреждает об атаке на Linux системы с использова..."  
Сообщение от Никого_нет_всех_якши_унесли email on 30-Авг-08, 15:30 
Установка аунтификации только по ключам с парольной фразой, вход root - запрещен --- надежно защищает от таких глупых атак.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру