The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

US-CERT предупреждает об атаке на Linux системы с использованием SSH ключей

27.08.2008 23:17

Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.

Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов, а также при наличии беспарольных ssh входов с другой атакованной системы, осуществляется попытка проникновения на машину.

В случае удачи создается "черный ход" - в файлы .ssh/known_hosts и .ssh/authorized_keys вносятся изменения, позволяющие злоумышленнику или червю в дальнейшем, после смены пароля пользователя, повторно проникать в систему через аутентификацию по ключам в ssh (вероятно, что данные изменения могут быть внесены в файлы ssh через какую-либо локальную уязвимость, допускающую только модификацию файлов пользователем, например, уязвимость в firefox, а затем использованы для продолжения атаки). Далее производится попытка получения привилегий суперпользователя, путем применения vmsplice (?) эксплоита для Linux ядра. И в заключении, начальная фаза атаки завершается установкой rootkit комплекта phalanx2, скрывающего файлы, процессы и сокеты злоумышленника, а также осуществляющего сниффинг локальных паролей. Определить наличие данного руткита можно осуществив переход в скрытую директорию /etc/khubd.p2 (ls ничего не покажет, но переход по cd сработает).

Интересной особенностью является возможность распространения червя по ssh ключам - на успешно атакованной машине производится поиск всех ssh ключей, по которым возможен беспарольный вход на другие машины, далее червь пытается зайти на те машины и продолжить свое распространение.

US-CERT рекомендует администраторам серверов, пользователи которых используют беспарольную аутентификацию при входе с внешних машин, провести детальный аудит всех беспарольных точек входа в систему, в случае обнаружения входов с сомнительных, с позиции безопасности, машин или наличия на удаленных машинах активности руткита phalanx2, рекомендуется запретить для пользователей этих машин беспарольную аутентификацию по SSH ключам.

  1. Главная ссылка к новости (http://www.us-cert.gov/current...)
  2. What Happened? - разбор атаки от администратора пострадавшей системы
  3. phalanx-b6 toolkit
  4. OpenNews: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 включительно
  5. OpenNews: Анализ возникновения "vmsplice" уязвимости в Linux ядре
  6. OpenNews: Детальный разбор устройства "vmsplice" эксплоита
Лицензия: CC-BY
Источник: lwn.net
Тип: Проблемы безопасности
Ключевые слова: attack, security, linux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, kost BebiX (?), 03:34, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не, ну всё понятно. Но как делается первый этап? Какая разница что там дальше происходит если первый этап надо для начала предотвратить?
     
     
  • 2.13, Michael Shigorin (ok), 14:47, 28/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Не, ну всё понятно. Но как делается первый этап? Какая разница что
    >там дальше происходит если первый этап надо для начала предотвратить?

    Идёте в sshd_config, смотрите значения PermitRootLogin, AllowGroups, PasswordAuthentication, справку по ним, прикидываете, корректируете.

    Можно ещё на левый порт отвесить, чтоб сканирование "всех подряд" прошло мимо.

     
  • 2.15, User294 (??), 17:17, 28/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, ну всё понятно. Но как делается первый этап?

    Путем использования лох-админов и плохо администряемых систем? :D

     

  • 1.3, pavlinux (ok), 04:42, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чёй-то не пойму панику... или в CERT башню снесло

    1. Угроза атака по перебору была всегда, устраняется лимитом входов с одного IP, МАС, login_а не более 3-х ошибок в час, 20 в день.

    2. Атака по простым паролям, так же, постоянная беда, устраняется запретом на простоту, длину, содержание - две заглавные, две строчные, две цифры, два печатных символа, далее по вкусу.  С помощью John The Ripper проверяем по worldlist_y.
    Для двухязычных юзеров, это ещё легче, - написать куплет из Мурки ввиде пароля милое дело.

    типа:
         Там сидела Мурка в кожаной тужурке, а из под полы торчал наган.
         Nfv cbltkf Vehrf d rj;fyjq ne;ehrt? f bp gjl gjks njhxfk yfufy.

    Все, пипец, ЦРУ сосёт.


    3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда даже не обидно что его хакнут.


    > US-CERT

    Совместно с ЦРУ ФБР АНБ,
    > рекомендует администраторам серверов, запретить для пользователей
    >этих машин беспарольную аутентификацию по SSH ключам.

    А то спец службам тяжело подбирать SSH ключи, plain-text трафик ловить легче.

     
     
  • 2.12, Michael Shigorin (ok), 14:42, 28/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. Угроза атака по перебору была всегда, устраняется лимитом входов с
    >одного IP, МАС, login_а не более 3-х ошибок в час, 20
    >в день.

    ...чем-нить вроде sshutout или BlockHosts.

    > 2. Атака по простым паролям, так же, постоянная беда, устраняется запретом
    >на простоту, длину, содержание - две заглавные, две строчные, две цифры,
    >два печатных символа, далее по вкусу.  С помощью John The Ripper проверяем
    >по worldlist_y.

    Хех, в альте достаточно не менять настройку pam_passwdqc, чтоб достаточно было проверялки в passwd ;-)  Ну и apg есть.

    >3. Если Linux-админ до сих пор не закрыл vmsplice дыру - тогда
    >даже не обидно что его хакнут.

    Недальновидная позиция.  Даже если "за страну" не обидно, то ещё один хост в руках врагов -- это всегда больше неприятностей.  Спама того же.

     

  • 1.4, Аноним (4), 06:16, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да да, с неделю назад кто-то ломился, с италии и израиля.
     
  • 1.5, Аноним (5), 07:10, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Долбоидиоты. Рекомендации должны быть такие: denyhosts, knockd, rkhunter, chkrootkit, а не те глупости, что в статье.
     
  • 1.6, just_another_anonymous (?), 08:42, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как трудно на ключ простейший пароль поставить - просто охренеть..
     
     
  • 2.8, Alex (??), 10:16, 28/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас СМИ начнут пестрить статьями вроде "Разрушен миф безопасности Linux" Или "Linux полностью бесзащитен" или "Шок:Неустранимая бреш в безопасности Linux"
     

  • 1.10, Frank (??), 12:07, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.
    > Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов

    Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила напомнить о своём существовании?

     
     
  • 2.17, Krivoy (??), 11:08, 29/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Организация US-CERT выпустила информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем.
    >> Суть атаки в следующем: Путем перебора тривиальных паролей и типичных логинов
    >
    >Этой атаке сто лет в обед. Не первый год наблюдаю. US-CERT решила
    >напомнить о своём существовании?

    Наверно - типа - "Не сплю я Марйя Аванна не сплю!" :) - "вот про уязвимость узнал вот она свежая..... ну или когда засыпал была свежая....."

    А что такое "без парольный" вход? :)

     

  • 1.11, Аноним (5), 14:26, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом на несколькл страниц начинается со слов узнаем пароль ползователя root, а дальше на 5 страниц как зная пароль нагадить в системе.
     
     
  • 2.16, Krivoy (??), 11:05, 29/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Статья достойна журнала для детей типа хакер. Там тоже статьи про взлом
    >на несколькл страниц начинается со слов узнаем пароль ползователя root, а
    >дальше на 5 страниц как зная пароль нагадить в системе.

    +100 :) в точку

     

  • 1.14, Zumu (?), 15:57, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    надо статью про gssapi в ssh конфигах, что тогда вообше не нужен пароль или чтото там ешё ;)
     
  • 1.18, maltsev (??), 17:33, 29/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    фигасе эксплоит.
    из-под непривилегированного юзера повесил CentOS 5.1 ядро 2.6.18
     
     
  • 2.19, Michael Shigorin (??), 19:02, 29/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    [user@localhost ~]$ ./a.out
    -----------------------------------
    Linux vmsplice Local Root Exploit
    By qaaz
    -----------------------------------
    [+] mmap: 0x0 .. 0x1000
    [+] page: 0x0
    [+] page: 0x20
    [+] mmap: 0x4000 .. 0x5000
    [+] page: 0x4000
    [+] page: 0x4020
    [+] mmap: 0x1000 .. 0x2000
    [+] page: 0x1000
    [+] mmap: 0xb7d8a000 .. 0xb7dbc000
    [-] vmsplice: Bad address
    [user@localhost ~]$ uname -r
    2.6.18-std-smp-alt12.M40.3

    Апдейты вообще-то стоит прикладывать.  Да и про индуса (буквально), что занимается ядрами в кентосе, я уже давно людей предупреждаю...

     
     
  • 3.20, Никого_нет_всех_якши_унесли (?), 15:30, 30/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Установка аунтификации только по ключам с парольной фразой, вход root - запрещен --- надежно защищает от таких глупых атак.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру