The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH

01.12.2011 14:51

В блоге Лаборатории Касперского появилась заметка с разбором последствий взлома двух Linux-хостов, используемых злоумышленниками для управления Windows-машинами, пораженными троянским ПО Duqu. Хосты были представлены для анализа после того, как злоумышленники пытаясь замести следы, удалили содержимое директорий "/var/log" и "/root" с серверов. Несмотря на то, что при удалении данных были предприняты попытки обнуления областей на диске, не все удалённые данные были обнулены и проанализировав остаточные данные на дисковых разделах удалось частично восстановить активность после взлома.

Из всей активности злоумышленников наибольший интерес вызывают операции, связанные с OpenSSH, которым трудно найти логическое объяснение. На обоих хостах атакующие сразу после проникновения по каким-то причинам обновили OpenSSH с версии 4.3 до версии 5.x. На первом сервере в качестве обновления были использованы исходные тексты пакета openssh_5.8p1-4ubuntu1.debian.tar.gz из репозиториев Ubuntu, троянских вставок клиенте и сервере ssh не обнаружено (MD5-хэш копии соответствовал оригиналу). Спустя 5 месяцев было установлено обновление OpenSSH 5.8p2. На втором сервере новая версия была установлена из стандартного репозитория (yum install openssh5). После обновления в настройки "sshd_config" были добавлены две строки "GSSAPIAuthentication yes" и "UseDNS no" (обе опции прекрасно поддерживаются и в версии 4.3).

В настоящее время можно только предполагать, зачем атакующие после взлома обновили OpenSSH. Одна из гипотез указывает на вероятное наличие в OpenSSH 4.3 уязвимости, через которую злоумышленники проникли в систему и потом решили закрыть лазейку для других атакующих. Например, в OpenSSH 4.4 была устранена потенциальная уязвимость, проявляющаяся до стадии аутентификации и связанная с GSSAPI (активность в логе, напоминающая подбор пароля, может быть связана с достижением нужных условий "race condition"). Вторая, более правдоподобная гипотеза, связана с тем, что злоумышленникам понадобились какие-то функции, поддержка которых отсутствовала в OpenSSH 4.3 (например, появившийся в версии 5.4 режим netcat мог использоваться для создания вложенных туннелей). Но в любом случае не понятно зачем было нужно выполнять обновление OpenSSH 5.8p1 до версии 5.8p2.

В качестве наиболее вероятного способа проникновения в систему рассматривается результат атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH. В пользу этого предположения свидетельствует череда неудачных попыток входа, окончившихся удачным входом. Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток (общая продолжительность подбора 8 минут) и перед первым удачным входом был трёхминутный перерыв (после удачного применения эксплоита атакующий мог сменить пароль и войти штатными средствами).

Кроме двух упомянутых в статье серверов, аналогичные системы были выявлены в Индии, Вьетнаме, Германии, Сингапуре, Великобритании и других странах. Взлом серверов был произведён ещё в ноябре 2009 года. Опасение также вызывает тот факт, что все управляющие работой Duqu серверы были взломаны аналогичным образом и работали только под CentOS 5.x (5.4, 5.5 и 5.2). Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS.

  1. Главная ссылка к новости (http://www.securelist.com/en/b...)
  2. OpenNews: Оценка причин и последствий взлома kernel.org
  3. OpenNews: Несколько обслуживающих WordPress.com серверов подверглись взлому
  4. OpenNews: Во FreeBSD 4.x с включенным сервисом SSH найдена удаленная root-уязвимость
  5. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  6. OpenNews: Проект PHP сообщил о взломе и утечке базы паролей с Wiki-сервера
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/32437-ssh
Ключевые слова: ssh, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (129) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (-), 16:07, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS.

    Да все проще. Центос ломать одно удовольствие: там обновления безопасности по году не приходят.
    Не понимаю, зачем его где-то вообще юзают. Все, кому нужен бесплатный рхел без гемора, уже давно ушли на SL.

     
     
  • 2.6, Аноним (-), 16:31, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Можно подумать что у hardhat'а какой-то особый ssh.
     
     
  • 3.7, Аноним (-), 16:40, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, есть маленько. А еще у них ядро особое.
     
     
  • 4.18, Аноним (-), 17:15, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, есть маленько.

    И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.

     
     
  • 5.22, Аноним (-), 17:28, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    SELINUX
     
     
  • 6.42, Аноним (-), 19:34, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > SELINUX

    Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост взломали - значит он не помог и теория о том что это очень круто не подтвердилась естественным путем.

     
     
  • 7.80, anonymous (??), 01:46, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Гадайта гадайте, вот еще вариант - может как в 99.9999999% всех остальных случаев пароль рута был "777" ?
     
  • 7.105, Аноним (-), 14:28, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост
    > взломали - значит он не помог и теория о том что
    > это очень круто не подтвердилась естественным путем.

    А еще был опровергнута теория о том, что *nix - это защищенные системы.

     
     
  • 8.124, Аноним (-), 16:47, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А вот это как бы это зависит от метода взлома А то может и правда подобрали суп... текст свёрнут, показать
     
  • 8.142, Кирилл (??), 19:47, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, сверх защищённые За пару минут можно закрыть так, что и сам не попад... текст свёрнут, показать
     
  • 5.107, Аноним (-), 14:31, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.

    Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например, уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина, хотя в мейнстриме это добавили где-то после 5.0.

     
     
  • 6.114, Кирилл (??), 14:50, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.
    > Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например,
    > уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина,
    > хотя в мейнстриме это добавили где-то после 5.0.

    Очень полезно пихать в песочницу рута.

     
     
  • 7.121, Аноним (-), 16:10, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень полезно пихать в песочницу рута.

    (Бес)полезно для рута == (бес)полезно для всех остальных юзеров?

     
  • 7.125, Аноним (-), 16:48, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень полезно пихать в песочницу рута.

    А зачем нужен рут в песочнице? Чтобы дети могли "поиграть в сисадмина"? :)

     

  • 1.8, Анонище (?), 16:43, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Куда интереснее -каким макаром произошло проникновение.  А что, что ПО меняли, так и ладно, не в музей же попали.
     
     
  • 2.12, Аноним (-), 16:51, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Куда интереснее -каким макаром произошло проникновение.  А что, что ПО меняли,
    > так и ладно, не в музей же попали.

    Journal там пока что не внедрили, так что без шансов.

     
     
  • 3.15, Аноним (-), 16:59, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Куда интереснее -каким макаром произошло проникновение.  А что, что ПО меняли,
    >> так и ладно, не в музей же попали.
    > Journal там пока что не внедрили, так что без шансов.

    А что бы это изменило?

     
     
  • 4.33, Аноним (-), 18:20, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Никто бы даже не узнал о взломе, очевидно.
     
     
  • 5.101, Аноним (-), 14:15, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Никто бы даже не узнал о взломе, очевидно.

    Да, на системах с syslog о взломе можно узнать только если повезет.

     
     
  • 6.113, Кирилл (??), 14:48, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный принтер с рулоном бумаги.
     
     
  • 7.119, Аноним (-), 15:59, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный
    > принтер с рулоном бумаги.

    Получится такой аналог Journal в стиле прошлого века.

    P.S. Кстати, тут пробегала инфа, что хакеры научились удаленно поджигать принтеры, гоняя их в некорректных режимах =)

     
     
  • 8.139, Кирилл (??), 19:41, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Почему прошлого У меня так на всех шлюзах Регистрация всех важных событий лока... текст свёрнут, показать
     
     
  • 9.151, Аноним (-), 16:26, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    До тех пор, пока хакеры не начнут их поджигать ... текст свёрнут, показать
     
  • 9.165, аноним1 (?), 22:40, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    сколько нарушителей и за сколько лет поймали, если не секрет ... текст свёрнут, показать
     
  • 7.126, Аноним (-), 16:49, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > принтер с рулоном бумаги.

    Прочиталось как с рулоном туалетной бумаги, извините :)

     
     
  • 8.141, Кирилл (??), 19:45, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Туалетную утащат ... текст свёрнут, показать
     
  • 4.102, Аноним (-), 14:18, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А что бы это изменило?

    Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.
    Впрочем, настоящие ценители syslog и необновленных центосов, как правило, презирают удаленное логгирование (неудивительно, с такой-то реализацией, как в syslog).

     
     
  • 5.115, Кирилл (??), 14:52, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/

    > Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.

    Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.

     
     
  • 6.118, Аноним (-), 15:58, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.

    Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец может назваться Апачом и писать в лог от его имени.

     
     
  • 7.120, PereresusNeVlezaetBuggy (ok), 16:04, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.
    > Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
    > может назваться Апачом и писать в лог от его имени.

    А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)

     
     
  • 8.122, Аноним (-), 16:12, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да и незачем Смысл записи во много определяется ее контекстом А нужный контекс... текст свёрнут, показать
     
     
  • 9.123, PereresusNeVlezaetBuggy (ok), 16:14, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В плане Запись из error_log, указывающая на попытку взлома, чем только ни допол... текст свёрнут, показать
     
     
  • 10.127, Аноним (-), 16:50, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А что помешает хакеру убрать ее втихарика без палева ... текст свёрнут, показать
     
     
  • 11.136, PereresusNeVlezaetBuggy (ok), 19:10, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Отсутствие прав если ещё не рут, а только пытаеццо ... текст свёрнут, показать
     
     
  • 12.143, Аноним (-), 19:55, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так если успешно попытается - права будут У поттеринга он может разве что це... текст свёрнут, показать
     
     
  • 13.145, PereresusNeVlezaetBuggy (ok), 19:59, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вот пока он будет пытаться, его и засекут Если за машиной будут следить только ... текст свёрнут, показать
     
     
  • 14.161, Аноним (-), 12:40, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Или не засекут, в зависимости от мастерства хакера и админа Ну, можно посадить ... текст свёрнут, показать
     
     
  • 15.163, PereresusNeVlezaetBuggy (ok), 16:03, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Эта возможность была озвучена, так как она возможно, но не слишком вероятна А в... текст свёрнут, показать
     
  • 10.133, Аноним (-), 18:31, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем ее куда-то девать Достаточно накидать туда еще пару сотен тысяч таких ж... текст свёрнут, показать
     
     
  • 11.137, PereresusNeVlezaetBuggy (ok), 19:11, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё раз от анализатора логов Которому пофиг на остальной мусор, хоть из ... текст свёрнут, показать
     
     
  • 12.152, Аноним (-), 16:29, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Еще раз лог заполняется не мусором, а вполне определенными записями, соответств... текст свёрнут, показать
     
     
  • 13.155, PereresusNeVlezaetBuggy (ok), 21:29, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И как вы собираетесь подделывать логи Вот вам access-лог Apache Имеем отметку ... большой текст свёрнут, показать
     
  • 12.162, Аноним (-), 12:42, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Так надо сделать чтобы не пофиг было Кидаем еще 100500 записей в таком же ду... текст свёрнут, показать
     
     
  • 13.164, PereresusNeVlezaetBuggy (ok), 16:05, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В таком случае фэйковые логи по определению будут идти _после_ реальных Этого... текст свёрнут, показать
     
  • 7.140, Кирилл (??), 19:43, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/

    > Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
    > может назваться Апачом и писать в лог от его имени.

    Причём тут верить или не верить. Главное зарегистрировать хронологию событий. Очень сложно произвести даже попытку взлома без явных вопиющих следов, оставленных ещё до вторжения.

     
     
  • 8.153, Аноним (-), 16:31, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    которых не было Любой бот может завалить лог гигабайтными потоками какбэ с... текст свёрнут, показать
     
  • 3.166, аноним1 (?), 22:44, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Journal там пока что не внедрили, так что без шансов.

    что за Journal, простите??


     

     ....большая нить свёрнута, показать (32)

  • 1.24, Вова (?), 17:50, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке - grep xxx /dev/sd*?
     
     
  • 2.28, Hugo Reyes (ok), 18:02, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://www.opennet.ru/base/sys/recover_file10.txt.html
     
  • 2.34, CrustY (?), 18:27, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    testdisk погугли )
     
  • 2.45, igron (ok), 19:51, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    foremost
     
  • 2.89, Вова (?), 07:55, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо всем.
     
  • 2.106, Аноним (-), 14:29, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо
    > фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке -
    > grep xxx /dev/sd*?

    photorec, ext3grep.

     

  • 1.37, Аноним (-), 18:51, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да никто там особо не заботился о том чтобы не взломали , выполнили свою задачу и в мусор.
     
  • 1.38, Аноним (-), 19:15, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009 какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно версию OpenSSH. Из этого можно сделать какие-то выводы?
     
     
  • 2.43, Аноним (-), 19:35, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009
    > какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно
    > версию OpenSSH. Из этого можно сделать какие-то выводы?

    Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?

     
     
  • 3.108, Аноним (-), 14:32, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?

    Если с 2009 года не обновляться, как это любят делать ценители центоса - запросто.

     

  • 1.47, Аноним (-), 20:04, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В последнем CentOS 5.x пакет openssh-4.3p2-72.el5_7.5.i386.rpm

    В 4.3p2-10 была исправлена ошибка в GSSAPI. В заметке лаборатории касперского нет упоминания того, какая версия была до взлома. Очень похоже, что ниже 4.3p2-10 и сломали именно через эту уязвимость, хотя и утверждалось, что она не эксплуатируема.

     
  • 1.48, AdVv (ok), 20:45, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не понятно из новости, что за хосты были взломаны и как они были связаны с Duqu. Кто-то перехватил управление ботнетом ? Или управление ботнетом изначально осуществлялось с этих левых хостов ? Как-то недальновидно, потерял хост, потерял управление всем ботнетом ?
     
  • 1.49, AdVv (ok), 20:48, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера" Uplink ;)
     
     
  • 2.128, Аноним (-), 16:51, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера"
    > Uplink ;)

    Это что-то типа fate?

     
     
  • 3.169, AdVv (ok), 11:29, 28/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера"
    >> Uplink ;)
    > Это что-то типа fate?

    http://ru.wikipedia.org/wiki/Uplink_%28%D0%B8%D0%B3&

     

  • 1.50, Аноним (-), 21:23, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >пользователя root, которому был разрешён вход по SSH

    Что за дурь?!

    По моему все до единого сисадмины знают, что такой доступ верх безалаберности. Все книжки и руководства исходят криком: "Не делайте это!"
    Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
    ...Что же - кто-то оказался в итоге умнее.

     
     
  • 2.54, Аноним (-), 22:34, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>пользователя root, которому был разрешён вход по SSH
    > Что за дурь?!
    > По моему все до единого сисадмины знают, что такой доступ верх безалаберности.

    Дефолтовые настройки меняет мизерный процент сисадминов. Даже если в системе вход под root запрещён многие (если не большинство) хостинг-компании для арендованных серверов после заливки системы дают клиенту root-овый пароль и меняют sshd_config.

     
  • 2.81, anonymous (??), 01:48, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>пользователя root, которому был разрешён вход по SSH
    > Что за дурь?!
    > По моему все до единого сисадмины знают, что такой доступ верх безалаберности.
    > Все книжки и руководства исходят криком: "Не делайте это!"
    > Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
    > ...Что же - кто-то оказался в итоге умнее.

    Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.

     
     
  • 3.84, Аноним (-), 01:59, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.

    Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ? Вы может мне еще скажите что логин по ssh разрешенный только для пользователя в виде 8x1UsNxKtW8B и пароль не менее простой тоже маразм? А как насчет knockd?

     
     
  • 4.85, qpq (ok), 02:35, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    на каком сервере? IP у вас тоже генератором паролей выбирается? :)
     
     
  • 5.148, Аноним (-), 05:48, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >на каком сервере?

    На моем.

    >IP у вас тоже генератором паролей выбирается? :)

    Конечно нет. Что за бред пишете и, главное, зачем?

     
     
  • 6.160, qpq (ok), 12:20, 09/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    это был сарказм как бы
    просто, пытался понять, зачем генерить случайное имя для пользователя? если параноить, то можно добавить эту часть к паролю, а имя оставить обычным удобочитаемым
     
  • 4.86, Аноним (-), 05:48, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ?

    Да, дурь. Нормальный пароль не подберут в обозримом будущем. Сам пароль передается не открытым текстом. Если все же увели с юзерского компьютера root пароль от удаленной системы, то уведут и ваши "8x1UsNxKtW8B" и такая защита будет бесполезна. Опять же, если есть удаленная уязвимость, то запрет на root-логин едва ли поможет. Ко всему прочему, ходят по ключам, как правило, а не по паролям.
    Объясните, мне, глупому, чем поможет запрет логина от рута?

     
     
  • 5.87, xdsl (?), 06:53, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Объясните, мне, глупому, чем поможет запрет логина от рута?

    Тем, что
    1)крякеру надо сначала угадать юзеровский логин для удаленного входа, который на каждой системе разный, в отличие от root;
    2)получение логина и пароля для удаленного входа - это полдела, надо еще, получив доступ к серверу, провести кучу манипуляций для получения рутового доступа. За это время в системе остается куча следов.

     
     
  • 6.94, SubGun (ok), 10:19, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А вы сидите и tail'ом логи смотрите 24х7
     
  • 6.98, Аноним (-), 12:03, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > За это время в системе остается куча следов.

    А откуда следует что их останется больше чем при получении рута? Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига. Там даже нагадить толком не выйдет. И чего? :)

     
     
  • 7.109, Аноним (-), 14:34, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига.

    Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с рутовыми правами.

     
     
  • 8.129, Аноним (-), 16:52, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А в случае лени и паранойи надо виртуалки юзать Из них вы уже тоже умеете вылез... текст свёрнут, показать
     
     
  • 9.134, Аноним (-), 18:33, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Такой шанс бывает редко - для xen или vmware такие дыры находят раз в несколько ... текст свёрнут, показать
     
  • 8.147, Аноним (-), 05:45, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Классная пьянка Мало что мой логин в виде 8x1UsNxKtW8B увели и сообразили что... текст свёрнут, показать
     
  • 6.132, Аноним (-), 17:38, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    аксиома а не зависимо от того, включен или выключен логин от рута, ssh ведет се... большой текст свёрнут, показать
     
  • 6.149, Аноним (-), 12:55, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Бред какой-то Не понял, при чем тут разные системы, и еще у вас что, на разных ... большой текст свёрнут, показать
     
  • 5.104, Аноним (-), 14:25, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, дурь. Нормальный пароль не подберут в обозримом будущем.

    Ага, ага.

    >This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced.

     
     
  • 6.131, Аноним (-), 16:58, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > likely answer is that the root password was bruteforced.

    Вообще, хреновый какой-то пароль если за 8 попыток подбирается. Толи вместо админа полный ламерюга, толи что-то тут не чисто.

     
     
  • 7.135, Аноним (-), 18:34, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Толи вместо админа полный ламерюга

    Разумеется, рутовый логин же был разрешен.

     
  • 3.103, Аноним (-), 14:23, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем
    > не проверяемые кроме автора.

    Вы действительно так считаете? Тогда Duqu идет к вам!

     
  • 2.88, kshetragia (ok), 07:03, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть и верх, но по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса. По крайней мере это справедливо для СentOS, Rhel, Debian. Чего не скажешь о фрюше.
     
     
  • 3.91, Mikula (?), 10:03, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.

    Нормальные админы эту возможность убирают сразу после создания пользователя, который может получить рута.

     
     
  • 4.97, reaper (??), 11:48, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Нормальные админы эту возможность убирают сразу после создания пользователя, который может
    > получить рута.

    зачем? не понимаю, выключить авторизацию по паролю и все

     
  • 4.130, Аноним (-), 16:54, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Нормальные админы эту возможность убирают сразу после создания пользователя, который может
    > получить рута.

    А какая глобальная разница? Нет, конечно от пароля 777 на руте это спасет, но если пароль нормальный - его и за 100 лет не подберут.

     
  • 4.138, Кирилл (??), 19:37, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это не так. Как раз доступ руту надо явно разрешать. Что, видимо, и было сделано.
     
  • 4.157, kshetragia (ok), 09:46, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.
    > Нормальные админы эту возможность убирают сразу после создания пользователя, который может
    > получить рута.

    Нормальные оси имеют это из коробки.

     

  • 1.52, Frank (ok), 22:05, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома."

    А в статье же говорится совсем по-другому -
    "Interestingly, on Linux it is sometimes possible to recover deleted files; however, in this case we couldn’t find anything. No matter how hard we searched, the sectors where the files should have been located were empty and full of zeroes."

     
     
  • 2.53, Frank (ok), 22:08, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И тут же после этого
    "By bruteforce scanning the slack (unused) space in the ‘/’ partition, we were able to recover parts of the ‘sshd.log’ file. This was kind of unexpected and it is an excellent lesson about Linux and the ext3 file system internals; deleting a file doesn’t mean there are no traces or parts, sometimes from the past."
     
     
  • 3.63, Евгений (??), 23:06, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И тут же после этого
    > "By bruteforce scanning the slack (unused) space in the ‘/’ partition, we
    > were able to recover parts of the ‘sshd.log’ file. This was
    > kind of unexpected and it is an excellent lesson about Linux
    > and the ext3 file system internals; deleting a file doesn’t mean
    > there are no traces or parts, sometimes from the past."

    Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали, может им было все-равно, ведь кто-то должен кормить/учить касперовцев :)

     
     
  • 4.78, Ytch (?), 01:15, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали

    Ну как бы сами же "касперцы" и намекают на это когда анализируют .bash_history. Тот факт, что проникнув на чужую машину "нехорошие" ребята (если это, конечно, их bash_history) вызывают man и команды с ключом --help (вместо того чтобы сделать это хотя бы у себя локально, в крайнем случае), а также ставят pico и/или nano, чтобы поправить несколько символов в конфиге (там vi что ли нет?) не говорит ни о высоком уровне грамотности, ни об осторожности (хотя может просто излишне самоуверенные).

     
  • 2.55, Аноним (-), 22:36, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не сработал простой метод, попробовали другой и нашли данные, что не так ?
     

  • 1.56, chelovek (?), 22:42, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот что то я не понял. Какой смысл в этой новости? Больше на какие то сплетни походит во дворах, бабушек. "Вот воры залезли, через дверь... И как они её открыли. И не выломали,.... И почему они потом закрыли дверь, а не оставил открытой." Да захотели и обновили блин! ))) Может им воспитание не позволило работать на старом ПО.

    "и перед первым удачным входом был восьмиминутный перерыв"
    Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.

     
     
  • 2.57, Аноним (-), 22:54, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > "и перед первым удачным входом был восьмиминутный перерыв"
    > Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.

    Ага подбирал пароли не скриптом, а вручную, пописал и сразу правильный пароль подобрал.

    Там слишком много совпадений и странных вещей. Я склоняюсь к тому, что в OpenSSH 4.3 из CentOS криво пропатчили дыру в GSSAPI (http://secunia.com/advisories/22173/). И вообще с этой дырой в GSSAPI мутная история, вначале писали что remote root, потом DoS, потом что не эксплуатируется, а потом замяли как-то, но исправления выпустили.

     
     
  • 3.58, chelovek (?), 22:57, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а почему нет? Вот у меня бывает умные идеи или в толчке или на курилке приходят весьма неожиданно!.)))))))
     
  • 2.60, pavlinux (ok), 23:00, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Омг... Пописять/покурить/пофапать ходил хакер.

    Это период цикла работы брутфорс скрипта.

    Вот к нам тоже, каждый день, аккурат с 13:00 до 14:00,
    примерно раз в 7 минут по 4 подхода долбят. :)
    Я их уже логи SSH как телевизор смотрю... Всё думаю,
    мож чего нового придумают, ан-н-н нет:

    root, RooT,rO0t, r00t, ruut, ryyt, admin, administator,
    god, g0d, godroot, rootgod, rootgood, rootgood, jedy,
    veider, matrix, neo, trinity, ....

     
     
  • 3.64, Аноним (-), 23:10, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
    > раз в 7 минут по 4 подхода долбит. :)

    А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)

     
     
  • 4.65, pavlinux (ok), 23:12, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вообще-то авторизация только по ключам и рута низя Да и вообще, уже перенёс... большой текст свёрнут, показать
     
     
  • 5.73, Ytch (?), 00:25, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Такая же фигня. Я вот думаю создать, что ли, пару из этих файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний вид оригинала (с намеком, например, на возможность root доступа к базам - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban как-то не так смешно.
     
     
  • 6.74, pavlinux (ok), 00:49, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Такая же фигня. Я вот думаю создать, что ли, пару из этих
    > файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
    > вид оригинала (с намеком, например, на возможность root доступа к базам
    > - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
    > особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
    > мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
    > как-то не так смешно.

    180.0.0.0/2 можно смело банить :)
    13x.0.0.0, 6x.0.0.0 , 3x.0.0.0  - самые ботнетцкие адреса.

    Видимо в Южной Америке и Азии самые ацтойные админы. :)

     
     
  • 7.159, un4me (??), 11:46, 06/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 180.0.0.0/2 можно смело банить :)
    > 13x.0.0.0, 6x.0.0.0 , 3x.0.0.0  - самые ботнетцкие адреса.

    Тогда уж советую:

    -A INPUT -m geoip --source-country A1,AD,AE,AF,AG,AI,AO,AP,AQ,AW,AX  -j DROP
    -A INPUT -m geoip --source-country VN,MX,IN,TH,EG,PH,MK,KR,PK,TR,TW  -j DROP
    -A INPUT -m geoip --source-country CN  -j DROP
    -A INPUT -p tcp -m tcp --dport 137 -j CHAOS --tarpit
    -A INPUT -p tcp -m tcp --dport 138 -j CHAOS --tarpit
    -A INPUT -p tcp -m tcp --dport 139 -j CHAOS --tarpit
    -A INPUT -p tcp -m tcp --dport 445 -j CHAOS --tarpit
    -A INPUT -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1  -j DROP

     
  • 6.92, ФФ (ok), 10:11, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    зачОтно :)
     
  • 6.110, Аноним (-), 14:37, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Такая же фигня. Я вот думаю создать, что ли, пару из этих
    > файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
    > вид оригинала (с намеком, например, на возможность root доступа к базам
    > - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
    > особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
    > мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
    > как-то не так смешно.

    Эта идея существует уже давно и называется honeypot. Настоящие исследователи в области безопасности (а не такие, как у касперского) создают целые сети таких хостов и изучают по ним поведение хацкеров.

     
  • 5.76, stamnik (ok), 00:58, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
    >>> раз в 7 минут по 4 подхода долбит. :)
    >> А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)
    > Ну вообще-то авторизация только по ключам и рута низя.
    > Да и вообще, уже перенёс на другой порт...
    > Cкучно стало, в логах только записи крона... :(
    > Но фигня, ещё есть web сервер!!! Там постоянно бутфорсят
    > на наличие PHPMyAdmin и стандартные страницы авторизации
    > и пароли от полулярных SMS.

    Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое время включить вот это http://www.opennet.ru/docs/RUS/iptables/#MIRRORTARGET
    Только очень осторожно. Ибо проц начинает жрать неимоверно. Да и трафик подъедает тоже не слабо.

     
     
  • 6.111, Аноним (-), 14:40, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое
    > время включить вот это http://www.opennet.ru/docs/RUS/iptables/#MIRRORTARGET
    > Только очень осторожно. Ибо проц начинает жрать неимоверно. Да и трафик подъедает
    > тоже не слабо.

    По-моему, эту штуку удалили из ядра лет пять назад, как минимум.

     
  • 2.82, Ytch (?), 01:49, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >"Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв"

    Оригинал гласит (да и по логам в оригинале видно):
    >Note how the "root" user tries to login at 15:21:11, fails a couple of times and then 8 minutes and 42 seconds later the login succeeds.

    Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды после начала подбора. И это, по их версии, как раз лишний раз подтверждает теорию подбора пароля:

    >This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced.

     
     
  • 3.96, Аноним (-), 10:33, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды
    > после начала подбора. И это, по их версии, как раз лишний
    > раз подтверждает теорию подбора пароля:

    Перерыв был, но не  8, а 3 минуты: по скриншоты лога отлично видно, что последняя неудачная попытка была 15:27:12, а затем вход в 15:29:53


     

  • 1.59, Аноним (-), 22:59, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый способ доказательства важности своевременного обновления. Что же касается CentOS то лично я, не считаю ее операционной системой вообще. Не понимаю, почему все за нее так  держаться, особенно если учесть периодичность выхода обновлений.
     
     
  • 2.83, anonymous (??), 01:56, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый
    > способ доказательства важности своевременного обновления. Что же касается CentOS то лично
    > я, не считаю ее операционной системой вообще. Не понимаю, почему все
    > за нее так  держаться, особенно если учесть периодичность выхода обновлений.

    Долгое время это была RedHat для бедных, все работало как часы. Но со времен когда Oracle выпендринулся со своим клоном и руководство RedHat решило начать сопротивление все покатилось под откос. Вероятно, прекратили все негласные контакты с Centos, наряду с сливанием индивидуальных патчей ядра и прочими пакостями.

     

  • 1.67, Аноним (-), 23:14, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё просто. Алгоритм взлома:

    1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH (< 4.3p2-10) под CentOS.
    2. При обнаружении используется публично не засвеченный эксплоит.
    3. Обновляем openssh, чтобы другие скрипты, работающие на других узлах ботнета, не сломали ещё раз.

     
     
  • 2.68, pavlinux (ok), 23:28, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Всё просто. Алгоритм взлома:
    > 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
    > (< 4.3p2-10) под CentOS.
    > 2. При обнаружении используется публично не засвеченный эксплоит.

    Если читал внимательно, то рута получили обычным бутфорсом.

     
     
  • 3.71, Аноним (-), 23:37, 01/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Всё просто. Алгоритм взлома:
    >> 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
    >> (< 4.3p2-10) под CentOS.
    >> 2. При обнаружении используется публично не засвеченный эксплоит.
    > Если читал внимательно, то рута получили обычным бутфорсом.

    Это вам так кажется :-) Вначале разведку провели, а уже потом тяжелая артиллерия в бой вступила.

     
     
  • 4.72, pavlinux (ok), 00:21, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Мне не кажется, читаю то, что пишут.

    "В качестве наиболее вероятного способа проникновения в систему рассматривается результат
    "атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH."


     
     
  • 5.90, Xing (?), 08:48, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    перебор за 8 минут???
    у меня что-то на это очень много времени уходило, скорее всего была использована уязвимость, возможно перехват, подбор из того что перехватили, перебор для отвода глаз
     
     
  • 6.168, Аноним (-), 17:47, 26/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    У меня обычно стоит fail2ban который при 3х неудачных попыток подбора добавляет правила дропа в фаервол на 30 минут, при таких условиях перебор пароля бы занял минимум час. Это не великея хакеро, на лицо обычная халатность
     

  • 1.77, adolfus (ok), 01:02, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Дйля беспарольного доступа ssh использует, в основном, две крипто системы -- rsa и dsa. Эти криптосистемы различаются как кислое и мягкое. Подозреваю, что произошел существенный прорыв либо в разложении двусоставного числа на множители (rsa) либо в отношении вычисления дискретного логарифма (dsa). По умолчанию в 5-й версии используется rsa. Если в 4-й что-то другое, это означает rsa под контролем. В смысле, что реально современные математики совершили подвиг.  Если же в 4-й тоже использовалась rsa, можно подозревать, что математика пока топчется на месте, но в говне pkcs11 -- ВСЕ КЛЮЧИ, ЧТО ВЫ ГЕНЕРИТЕ, СЛИВАЮТСЯ В ФБР. Итак, если в 4-м ssh криптосистема по-умолчанию не есть rsa, это значит прорыв в математике, сравнимый с высадкой на Марс. Если же там таки rsa, это всего лишь спецоперация подлога протокола.

     
  • 1.79, PereresusNeVlezaetBuggy (ok), 01:32, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ИМХО, хакеры не хотели, чтобы кто-то "переимел" систему за счёт какой-то незакрытой уязвимости, и честно обновляли OpenSSH. Ну ещё и щелчок по носу админам неплохой, а куда ж взломщикам без этого?

    Но это лишь ИМХО. :)

    BTW, насчёт 5.8p1 => p2, в release notes есть такое:

    * Fix compilation failure when enabling SELinux support.

    Это укладывается в теорию выше: возможно, до этого openssh скомпилировали без поддержки SELinux, а после обновления до 5.8p2 смогли включить обратно. Так как уровень взломщиков был невысокий, то нет ничего удивительного в том, что они не стали сами заморачиваться с исправлением проблем компиляции.

     
     
  • 2.99, StaS (??), 13:33, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А банальный firewall  когда успели отменить ?
    и не тебе  брутфорс, и не тебе не известные эксплоиты для ssh ))

     
     
  • 3.112, PereresusNeVlezaetBuggy (ok), 14:46, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А банальный firewall  когда успели отменить ?
    >  и не тебе  брутфорс, и не тебе не известные эксплоиты
    > для ssh ))

    Фаервол не спасёт от медленного перебора. Судя по времени подбора, там банально был простой пароль, типа qwerty123. Так что админы сами себе злобные буратины, на что и тухлая версия OpenSSH как бы намекает.

    (ну да, да, некоторые ещё port knocking используют - пока однажды не столкнутся с ситуацией, что из-за него не получается пробиться легитимному юзеру)

     
  • 3.117, Кирилл (??), 14:59, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А банальный firewall  когда успели отменить ?
    >  и не тебе  брутфорс, и не тебе не известные эксплоиты
    > для ssh ))

    Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя, который ввёл штатный пароль рута?

     
     
  • 4.144, StaS (??), 19:57, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> А банальный firewall  когда успели отменить ?
    >>  и не тебе  брутфорс, и не тебе не известные эксплоиты
    >> для ssh ))
    > Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
    > банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
    > который ввёл штатный пароль рута?

    на столько банальный что не светит на весь мир ssh порт, что сводит к минимуму бурутфорс и использование эксплоитов.  

     
     
  • 5.146, PereresusNeVlezaetBuggy (ok), 20:01, 02/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>> А банальный firewall  когда успели отменить ?
    >>>  и не тебе  брутфорс, и не тебе не известные эксплоиты
    >>> для ssh ))
    >> Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
    >> банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
    >> который ввёл штатный пароль рута?
    > на столько банальный что не светит на весь мир ssh порт, что
    > сводит к минимуму бурутфорс и использование эксплоитов.

    А вот это в 99% случаев - глупость. Ибо лишает самого админа возможности оперативно что-то починить. SSH надо прикрывать фаером, но не полностью, а только ограничивать количество TCP-подключений с одного IP-адреса в единицу времени.

     
     
  • 6.150, vi (?), 14:40, 03/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не, надо так:
    После того как стало понятно, что это попытки взлома, перенаправлять весь этот трафик на сервера отдела К9, пусть работают (шутка, у них и так работы много!).
    Перенаправлять трафик на какой нибудь HoneyPot исследовательский, пусть ребята учатся друг у друга (если это конечно не ученики по заданию учителя тренируются ;)
    Главное самому не "спалится", когда будешь заходить "поадминить"!
     
  • 2.156, wildhawk (?), 13:28, 04/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Этот прорыв в математике совершили еще до 21 века советские ученые. Кроме того, не советую использовать встроенные средства аппаратной криптографии, которые доступны на ителловских платформах.
     
     
  • 3.158, anonymous (??), 12:50, 05/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    дайте ссылку пожалуйста...
     

  • 1.154, Аноним (-), 16:59, 03/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Там в .bash_history прикольный команды, особенно улыбнуло iptables -F, а если политика DROP на INPUT ) Видно какеры какие-то.
     
  • 1.167, Аноним (-), 17:39, 26/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Брутфорс мозга верить в непроверенные гипотезы каспера(призрака шалунишку), который удалил осла в 2009 году, за что его все любят и ненавидят, могли бы задать опросник сообществу центосников с коментами аля аффтар жжёш!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру