anonymous@RULINUX.NET~# Last login: 2024-11-02 22:30:27
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH

В блоге Лаборатории Касперского появилась заметка с разбором последствий взлома двух Linux-хостов, используемых злоумышленниками для управления Windows-машинами, пораженными троянским ПО Duqu. Хосты были представлены для анализа после того, как злоумышленники пытаясь замести следы, удалили содержимое директорий "/var/log" и "/root" с серверов. Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома.

Из всей активности злоумышленников наибольший интерес вызывают операции, связанные с OpenSSH, которым трудно найти логическое объяснение. На обоих хостах атакующие сразу после проникновения по каким-то причинам обновили OpenSSH с версии 4.3 до версии 5.x. На первом сервере в качестве обновления были использованы исходные тексты пакета openssh_5.8p1-4ubuntu1.debian.tar.gz из репозиториев Ubuntu, троянских вставок клиенте и сервере ssh не обнаружено (MD5-хэш копии соответствовал оригиналу). Спустя 5 месяцев было установлено обновление OpenSSH 5.8p2. На втором сервере новая версия была установлена из стандартного репозитория (yum install openssh5). После обновления в настройки "sshd_config" были добавлены две строки "GSSAPIAuthentication yes" и "UseDNS no" (обе опции прекрасно поддерживаются и в версии 4.3).

В настоящее время можно только предполагать, зачем атакующие после взлома обновили OpenSSH. Одна из гипотез указывает на вероятное наличие в OpenSSH 4.3 уязвимости, через которую злоумышленники проникли в систему и потом решили закрыть лазейку для других атакующих. Например, в OpenSSH 4.4 была устранена потенциальная уязвимость, проявляющаяся до стадии аутентификации и связанная с GSSAPI (активность в логе, напоминающая подбор пароля, может быть связана с достижением нужных условий "race condition"). Вторая, более правдоподобная гипотеза, связана с тем, что злоумышленникам понадобились какие-то функции, поддержка которых отсутствовала в OpenSSH 4.3 (например, появившийся в версии 5.4 режим netcat мог использоваться для создания вложенных туннелей). Но в любом случае не понятно зачем было нужно выполнять обновление OpenSSH 5.8p1 до версии 5.8p2.

В качестве наиболее вероятного способа проникновения в систему рассматривается результат атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH. В пользу этого предположения свидетельствует череда неудачных попыток входа, окончившихся удачным входом. Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв (после удачного применения эксплоита атакующий мог сменить пароль и войти штатными средствами).

Кроме двух упомянутых в статье серверов, аналогичные системы были выявлены в Индии, Вьетнаме, Германии, Сингапуре, Великобритании и других странах. Взлом серверов был произведён ещё в ноябре 2009 года. Опасение также вызывает тот факт, что все управляющие работой Duqu серверы были взломаны аналогичным образом и работали только под CentOS 5.x (5.4, 5.5 и 5.2). Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS.

http://www.opennet.ru/opennews/art.shtml?num=32437

Bod(*) (2011-12-01 18:56:43)

Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0

[Ответить на это сообщение]
avatar
Скрыть

Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH

PermitRootLogin no

sudo yum install denyhosts

anonymous(*)(2011-12-01 19:13:31)
Отредактировано anonymous по причине "не указана"
avatar
Скрыть

Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH

Это то понятно. Но сама детективная история любопытная :)

Bod(*)(2011-12-01 22:06:56)

Mozilla/5.0 (X11; Linux i686; rv:8.0) Gecko/20100101 Firefox/8.0 Iceweasel/8.0
avatar
Скрыть

Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH

> denyhosts
wtf?

anonymous(*)(2011-12-01 23:37:49)

avatar
Скрыть

Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH

> wtf?

denyhosts и Fail2ban - поделки на пятоне, которые анализируют лог и банят айпи плохих людей после N-й неудачной попытки залогиниться. Хорошо помогает от перебора паролей.

anonymous(*)(2011-12-02 00:02:50)
Отредактировано anonymous по причине "не указана"
avatar
Скрыть

Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH

> В настоящее время можно только предполагать, зачем атакующие после взлома обновили OpenSSH
Они же были Одминами. У них диссонанс от увиденной старой версии, вот и обновили. Это также объясняет почему обновили 5.8p1 на 5.8p2

anonymous(*)(2011-12-02 11:42:34)

Этот тред читают 1 пользователь:
Анонимных: 1
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!