US-CERT предупреждает об атаке на Linux системы с использованием SSH ключей
27 августа 2008 года
Организация US-CERT выпустила (Архивная копия от 17 февраля 2013 на Wayback Machine) информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.
Суть атаки в следующем: Путем перебора тривиальных паролей (Архивная копия от 21 марта 2014 на Wayback Machine) и типичных логинов, а также при наличии беспарольных ssh входов с другой атакованной системы, осуществляется попытка проникновения на машину.
В случае удачи создается "черный ход" - в файлы .ssh/known_hosts и .ssh/authorized_keys вносятся изменения, позволяющие злоумышленнику или червю в дальнейшем, после смены пароля пользователя, повторно проникать в систему через аутентификацию по ключам в ssh (вероятно, что данные изменения могут быть внесены в файлы ssh через какую-либо локальную уязвимость, допускающую только модификацию файлов пользователем, например, уязвимость в firefox, а затем использованы для продолжения атаки). Далее производится попытка получения привилегий суперпользователя, путем применения vmsplice (?) эксплоита для Linux ядра. И в заключении, начальная фаза атаки завершается установкой rootkit комплекта phalanx2, скрывающего файлы, процессы и сокеты злоумышленника, а также осуществляющего сниффинг локальных паролей. Определить наличие данного руткита можно осуществив переход в скрытую директорию /etc/khubd.p2 (ls ничего не покажет, но переход по cd сработает).
Интересной особенностью является возможность распространения червя по ssh ключам - на успешно атакованной машине производится поиск всех ssh ключей, по которым возможен беспарольный вход на другие машины, далее червь пытается зайти на те машины и продолжить свое распространение.
US-CERT рекомендует администраторам серверов, пользователи которых используют беспарольную аутентификацию при входе с внешних машин, провести детальный аудит всех беспарольных точек входа в систему, в случае обнаружения входов с сомнительных, с позиции безопасности, машин или наличия на удаленных машинах активности руткита phalanx2, рекомендуется запретить для пользователей этих машин беспарольную аутентификацию по SSH ключам.
Источники
править- Главная ссылка к новости (http://www.us-cert.gov/current...) (Архивная копия от 17 февраля 2013 на Wayback Machine)
- What Happened? - разбор атаки от администратора пострадавшей системы (Архивная копия от 21 марта 2014 на Wayback Machine)
- phalanx-b6 toolkit
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
