Servidores Linux, bajo ataque (por el problema de SSH)
El US-CERT acaba de publicar un aviso sobre la detección de un aumento de ataques contra infraestructuras basadas en Linux mediante el uso de claves SSH comprometidas, probablemente relacionadas con el famoso fallo de Debian. Especialmente vulnerables son los sitios en que la identificación se realiza mediante claves no protegidas por contraseña.
Tras lograr el acceso al sistema, se utilizan "exploits" contra vulnerabilidades del kernel para obtener privilegios de "root". Acto seguido, se procede a instalar un rootkit (Phalanx2) en el sistema así comprometido, el cual roba nuevas claves que se utilizan para comprometer otros sitios u otros sistemas de la propia infraestructura comprometida.
Para detectar si nuestro sistema ha sido comprometido, además de revisar los controles habituales (Tripwire, buscar procesos ocultos, etc) hay que comprobar si existe un directorio /etc/khubd.p2/. No vale utilizar el comando ls (se oculta de él), sino tratar de entrar con un cd /etc/khubd.p2/
Si el sistema aparece comprometido, US-CERT recomienda deshabilitar la autenticación mediante claves SSH, auditar las claves en uso y avisar a los usuarios en riesgo...
Fuente: http://www.kriptopolis.org/servidores-linux-bajo-ataque
Tras lograr el acceso al sistema, se utilizan "exploits" contra vulnerabilidades del kernel para obtener privilegios de "root". Acto seguido, se procede a instalar un rootkit (Phalanx2) en el sistema así comprometido, el cual roba nuevas claves que se utilizan para comprometer otros sitios u otros sistemas de la propia infraestructura comprometida.
Para detectar si nuestro sistema ha sido comprometido, además de revisar los controles habituales (Tripwire, buscar procesos ocultos, etc) hay que comprobar si existe un directorio /etc/khubd.p2/. No vale utilizar el comando ls (se oculta de él), sino tratar de entrar con un cd /etc/khubd.p2/
Si el sistema aparece comprometido, US-CERT recomienda deshabilitar la autenticación mediante claves SSH, auditar las claves en uso y avisar a los usuarios en riesgo...
Fuente: http://www.kriptopolis.org/servidores-linux-bajo-ataque
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!