Обнаружены активные уязвимости в Linux системах
28-08-2008 14:43
к комментариям - к полной версии
- понравилось!
US-CERT сообщила об обнаружении активных атак с использованием похищенных SSH ключей, которые направлены на Linux системы.
Существует новый руткит под названием Phalanx2, который совместно с обычными задачами, также ворует все SSH ключи на системе. Затем, судя по всему, атакующие используют эти ключи (по крайней мере, те, для которых не был создан пароль) для доступа к другим системам. После получения доступа к системе, злоумышленники используют локальные эксплоиты для повышения привилегий.
Наличие Phalanx2 на системе можно определить по следующим признакам:
• Команда "ls" не отображает каталог "/etc/khubd.p2/", но в него можно зайти с помощью команды "cd /etc/khubd.p2"
• "/dev/shm/" может содержать файлы, которые использовались во время атаки
• Любая директория "khubd.p2" скрыта от команды "ls", но в нее можно зайти с помощью команды "cd"
• Изменения в конфигурации руткита могут изменить вышеописанные индикаторы атаки. Другие методы обнаружения могут включать поиск скрытых процессов на системе и сравнение количества ссылок в "/etc" по сравнению с количеством каталогов, отображаемых командой "ls".
В случае обнаружения компрометации системы необходимо выполнить следующие действия:
• Везде, где возможно, запретить SSH аутентификацию, основанную на ключах.
• Произвести аудит всех SSH ключей на системах.
• Уведомить владельцев ключей о возможности потенциальной компрометации их ключа.
В качестве проактивных мер рекомендуется:
• Выявить все системы, где SSH ключи используются как часть автоматического процесса. Как правило, такие ключи создаются без пароля и представляют повышенный интерес у злоумышленников.
• Заставить пользователей использовать пароли при создании ключей для уменьшения риска возможной компрометации.
• Проверить наличие последних исправлений безопасности на системах, подключенных к Интернет.
Также потенциально опасную брешь представляют ключи, сгенерированные на Debian-подобных системах до установленного исправления, которое вышло несколько месяцев назад. Если вы не установили исправление или не сгенерировали новые ключи, сейчас это необходимо сделать в кратчайшие сроки.
вверх^
к полной версии
понравилось!
в evernote
US-CERT сообщила об обнаружении активных атак с использованием похищенных SSH ключей, которые направлены на Linux системы.
Существует новый руткит под названием Phalanx2, который совместно с обычными задачами, также ворует все SSH ключи на системе. Затем, судя по всему, атакующие используют эти ключи (по крайней мере, те, для которых не был создан пароль) для доступа к другим системам. После получения доступа к системе, злоумышленники используют локальные эксплоиты для повышения привилегий.
Наличие Phalanx2 на системе можно определить по следующим признакам:
• Команда "ls" не отображает каталог "/etc/khubd.p2/", но в него можно зайти с помощью команды "cd /etc/khubd.p2"
• "/dev/shm/" может содержать файлы, которые использовались во время атаки
• Любая директория "khubd.p2" скрыта от команды "ls", но в нее можно зайти с помощью команды "cd"
• Изменения в конфигурации руткита могут изменить вышеописанные индикаторы атаки. Другие методы обнаружения могут включать поиск скрытых процессов на системе и сравнение количества ссылок в "/etc" по сравнению с количеством каталогов, отображаемых командой "ls".
В случае обнаружения компрометации системы необходимо выполнить следующие действия:
• Везде, где возможно, запретить SSH аутентификацию, основанную на ключах.
• Произвести аудит всех SSH ключей на системах.
• Уведомить владельцев ключей о возможности потенциальной компрометации их ключа.
В качестве проактивных мер рекомендуется:
• Выявить все системы, где SSH ключи используются как часть автоматического процесса. Как правило, такие ключи создаются без пароля и представляют повышенный интерес у злоумышленников.
• Заставить пользователей использовать пароли при создании ключей для уменьшения риска возможной компрометации.
• Проверить наличие последних исправлений безопасности на системах, подключенных к Интернет.
Также потенциально опасную брешь представляют ключи, сгенерированные на Debian-подобных системах до установленного исправления, которое вышло несколько месяцев назад. Если вы не установили исправление или не сгенерировали новые ключи, сейчас это необходимо сделать в кратчайшие сроки.
Комментарии (1):
ну наконец =)
а то Винда... Винда
Комментарии (1):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Обнаружены активные уязвимости в Linux системах | нетман - Блог под редакцией нетман |
Лента друзей нетман
/ Полная версия
Добавить в друзья
Страницы:
раньше»