форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"OpenNews: US-CERT предупреждает об атаке на Linux системы с ..."

Сообщение от opennews on 28-Авг-08, 03:19

Организация US-CERT выпустила (http://www.us-cert.gov/current/#ssh_key_based_attacks) информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем. Суть атаки в следующем: Путем перебора тривиальных паролей (http://hep.uchicago.edu/admin/report_072808.html) и типичных логинов, а также при наличии беспарольных ssh входов с другой атакованной системы, осуществляется попытка проникновения на машину. В случае удачи создается "черный ход" - в файлы .ssh/known_hosts и .ssh/authorized_keys вносятся изменения, позволяющие злоумышленнику или червю в дальнейшем, после смены пароля пользователя, повторно проникать в систему через аутентификацию по ключам в ssh. Далее производится попытка получения привилегий суперпользователя, путем применения vmsplice (http://www.opennet.dev/opennews/art.shtml?num=14141) (?) эксплоита для Linux ядра. И в заключении, начальная фаза атаки завершается установкой rootkit комплекта phalanx2, скрывающего файл... URL: http://www.us-cert.gov/current/#ssh_key_based_attacks Новость: http://www.opennet.dev/opennews/art.shtml?num=17592

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "US-CERT предупреждает об атаке на Linux системы с использова..."

Сообщение от kost BebiX on 28-Авг-08, 03:34

Не, ну всё понятно. Но как делается первый этап? Какая разница что там дальше происходит если первый этап надо для начала предотвратить?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "US-CERT предупреждает об атаке на Linux системы с использова..."
	Сообщение от Michael Shigorin (ok) on 28-Авг-08, 14:47
	>Не, ну всё понятно. Но как делается первый этап? Какая разница что >там дальше происходит если первый этап надо для начала предотвратить? Идёте в sshd_config, смотрите значения PermitRootLogin, AllowGroups, PasswordAuthentication, справку по ним, прикидываете, корректируете. Можно ещё на левый порт отвесить, чтоб сканирование "всех подряд" прошло мимо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "US-CERT предупреждает об атаке на Linux системы с использова..."
	Сообщение от User294 (??) on 28-Авг-08, 17:17
	> Не, ну всё понятно. Но как делается первый этап? Путем использования лох-админов и плохо администряемых систем? :D
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "US-CERT предупреждает об атаке на Linux системы с использова..."

Сообщение от pavlinux (ok) on 28-Авг-08, 04:42

Чёй-то не пойму панику... или в CERT башню снесло 1. Угроза атака по перебору была всегда, устраняется лимитом входов с одного IP, МАС, login_а не более 3-х ошибок в час, 20 в день. 2. Атака по простым паролям, так же, постоянная беда, устраняется запретом на простоту, длину, содержание - две заглавные, две строчные, две цифры, два печатных символа, далее по вкусу.  С помощью John The Ripper проверяем по worldlist_y. Для двухязычных юзеров, это ещё легче, - написать куплет из Мурки ввиде пароля милое дело. типа:      Там сидела Мурка в кожаной тужурке, а из под полы торчал наган.      Nfv cbltkf Vehrf d rj;fyjq ne;ehrt? f bp gjl gjks njhxfk yfufy. Все, пипец, ЦРУ сосёт. 3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда даже не обидно что его хакнут. > US-CERT Совместно с ЦРУ ФБР АНБ, > рекомендует администраторам серверов, запретить для пользователей >этих машин беспарольную аутентификацию по SSH ключам. А то спец службам тяжело подбирать SSH ключи, plain-text трафик ловить легче.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "US-CERT предупреждает об атаке на Linux системы с использова..."
	Сообщение от Michael Shigorin (ok) on 28-Авг-08, 14:42
	> 1. Угроза атака по перебору была всегда, устраняется лимитом входов с >одного IP, МАС, login_а не более 3-х ошибок в час, 20 >в день. ...чем-нить вроде sshutout или BlockHosts. > 2. Атака по простым паролям, так же, постоянная беда, устраняется запретом >на простоту, длину, содержание - две заглавные, две строчные, две цифры, >два печатных символа, далее по вкусу.  С помощью John The Ripper проверяем >по worldlist_y. Хех, в альте достаточно не менять настройку pam_passwdqc, чтоб достаточно было проверялки в passwd ;-)  Ну и apg есть. >3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда >даже не обидно что его хакнут. Недальновидная позиция.  Даже если "за страну" не обидно, то ещё один хост в руках врагов -- это всегда больше неприятностей.  Спама того же.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "US-CERT предупреждает об атаке на Linux системы с использова..."

Сообщение от Аноним (??) on 28-Авг-08, 06:16

Да да, с неделю назад кто-то ломился, с италии и израиля.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "US-CERT предупреждает об атаке на Linux системы с использова..."

Сообщение от Аноним (??) on 28-Авг-08, 07:10

Долбоидиоты. Рекомендации должны быть такие: denyhosts, knockd, rkhunter, chkrootkit, а не те глупости, что в статье.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "US-CERT предупреждает об атаке на Linux системы с использова..."

Сообщение от just_another_anonymous on 28-Авг-08, 08:42

как трудно на ключ простейший пароль поставить - просто охренеть..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "US-CERT предупреждает об атаке на Linux системы с использова..."
	Сообщение от Alex (??) on 28-Авг-08, 10:16
	Сейчас СМИ начнут пестрить статьями вроде "Разрушен миф безопасности Linux" Или "Linux полностью бесзащитен" или "Шок:Неустранимая бреш в безопасности Linux"
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "US-CERT предупреждает об атаке на Linux системы с использова..."

Сообщение от Frank (??) on 28-Авг-08, 12:07

> Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем. > Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила напомнить о своём существовании?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "US-CERT предупреждает об атаке на Linux системы с использова..."
	Сообщение от Krivoy (??) on 29-Авг-08, 11:08
	>> Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем. >> Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов > >Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила >напомнить о своём существовании? Наверно - типа - "Не сплю я Марйя Аванна не сплю!" :) - "вот про уязвимость узнал вот она свежая..... ну или когда засыпал была свежая....." А что такое "без парольный" вход? :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "US-CERT предупреждает об атаке на Linux системы с использова..."

Сообщение от Аноним (??) on 28-Авг-08, 14:26

Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом на несколькл страниц начинается со слов узнаем пароль ползователя root, а дальше на 5 страниц как зная пароль нагадить в системе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "US-CERT предупреждает об атаке на Linux системы с использова..."
	Сообщение от Krivoy (??) on 29-Авг-08, 11:05
	>Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом >на несколькл страниц начинается со слов узнаем пароль ползователя root, а >дальше на 5 страниц как зная пароль нагадить в системе. +100 :) в точку
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "US-CERT предупреждает об атаке на Linux системы с использова..."

Сообщение от Zumu on 28-Авг-08, 15:57

надо статью про gssapi в ssh конфигах, что тогда вообше не нужен пароль или чтото там ешё ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "US-CERT предупреждает об атаке на Linux системы с использова..."

Сообщение от maltsev (??) on 29-Авг-08, 17:33

фигасе эксплоит. из-под непривилегированного юзера повесил CentOS 5.1 ядро 2.6.18

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "US-CERT предупреждает об атаке на Linux системы с использова..."
	Сообщение от Michael Shigorin (??) on 29-Авг-08, 19:02
	[user@localhost ~]$ ./a.out ----------------------------------- Linux vmsplice Local Root Exploit By qaaz ----------------------------------- [+] mmap: 0x0 .. 0x1000 [+] page: 0x0 [+] page: 0x20 [+] mmap: 0x4000 .. 0x5000 [+] page: 0x4000 [+] page: 0x4020 [+] mmap: 0x1000 .. 0x2000 [+] page: 0x1000 [+] mmap: 0xb7d8a000 .. 0xb7dbc000 [-] vmsplice: Bad address [user@localhost ~]$ uname -r 2.6.18-std-smp-alt12.M40.3 Апдейты вообще-то стоит прикладывать.  Да и про индуса (буквально), что занимается ядрами в кентосе, я уже давно людей предупреждаю...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "US-CERT предупреждает об атаке на Linux системы с использова..."
	Сообщение от Никого_нет_всех_якши_унесли on 30-Авг-08, 15:30
	Установка аунтификации только по ключам с парольной фразой, вход root - запрещен --- надежно защищает от таких глупых атак.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]