US-CERT предупреждает об атаке на Linux системы с использованием SSH ключей

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

27 августа 2008 года

Организация US-CERT выпустила (Архивная копия от 17 февраля 2013 на Wayback Machine) информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.

Суть атаки в следующем: Путем перебора тривиальных паролей (Архивная копия от 21 марта 2014 на Wayback Machine) и типичных логинов, а также при наличии беспарольных ssh входов с другой атакованной системы, осуществляется попытка проникновения на машину.

В случае удачи создается "черный ход" - в файлы .ssh/known_hosts и .ssh/authorized_keys вносятся изменения, позволяющие злоумышленнику или червю в дальнейшем, после смены пароля пользователя, повторно проникать в систему через аутентификацию по ключам в ssh (вероятно, что данные изменения могут быть внесены в файлы ssh через какую-либо локальную уязвимость, допускающую только модификацию файлов пользователем, например, уязвимость в firefox, а затем использованы для продолжения атаки). Далее производится попытка получения привилегий суперпользователя, путем применения vmsplice (?) эксплоита для Linux ядра. И в заключении, начальная фаза атаки завершается установкой rootkit комплекта phalanx2, скрывающего файлы, процессы и сокеты злоумышленника, а также осуществляющего сниффинг локальных паролей. Определить наличие данного руткита можно осуществив переход в скрытую директорию /etc/khubd.p2 (ls ничего не покажет, но переход по cd сработает).

Интересной особенностью является возможность распространения червя по ssh ключам - на успешно атакованной машине производится поиск всех ssh ключей, по которым возможен беспарольный вход на другие машины, далее червь пытается зайти на те машины и продолжить свое распространение.

US-CERT рекомендует администраторам серверов, пользователи которых используют беспарольную аутентификацию при входе с внешних машин, провести детальный аудит всех беспарольных точек входа в систему, в случае обнаружения входов с сомнительных, с позиции безопасности, машин или наличия на удаленных машинах активности руткита phalanx2, рекомендуется запретить для пользователей этих машин беспарольную аутентификацию по SSH ключам.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «US-CERT предупреждает об атаке на Linux системы с использованием SSH ключей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=US-CERT_предупреждает_об_атаке_на_Linux_системы_с_использованием_SSH_ключей&oldid=16590635