rulinux.net - Форум - Talks - Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH http://rulinux.net/ rulinux.net - Форум - Talks - Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH http://rulinux.net/ http://rulinux.net/rss_icon.png Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH https://rulinux.net/message.php?newsid=35375&page=1#116647 https://rulinux.net/message.php?newsid=35375&page=1#116647 Fri, 02 Dec 2011 07:42:34 +0400 > В настоящее время можно только предполагать, зачем атакующие после взлома обновили OpenSSH
Они же были Одминами. У них диссонанс от увиденной старой версии, вот и обновили. Это также объясняет почему обновили 5.8p1 на 5.8p2

]]> Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH https://rulinux.net/message.php?newsid=35375&page=1#116610 https://rulinux.net/message.php?newsid=35375&page=1#116610 Thu, 01 Dec 2011 20:02:50 +0400 > wtf?

denyhosts и Fail2ban - поделки на пятоне, которые анализируют лог и банят айпи плохих людей после N-й неудачной попытки залогиниться. Хорошо помогает от перебора паролей.

]]> Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH https://rulinux.net/message.php?newsid=35375&page=1#116597 https://rulinux.net/message.php?newsid=35375&page=1#116597 Thu, 01 Dec 2011 19:37:49 +0400 > denyhosts
wtf?

]]> Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH https://rulinux.net/message.php?newsid=35375&page=1#116583 https://rulinux.net/message.php?newsid=35375&page=1#116583 Thu, 01 Dec 2011 18:06:56 +0400 Это то понятно. Но сама детективная история любопытная :)

]]> Re:Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH https://rulinux.net/message.php?newsid=35375&page=1#116565 https://rulinux.net/message.php?newsid=35375&page=1#116565 Thu, 01 Dec 2011 15:13:31 +0400 PermitRootLogin no

sudo yum install denyhosts

]]> Разбор последствий взлома Linux-хостов выявил странную активность, связанную с OpenSSH https://rulinux.net/message.php?newsid=35375&page=1#116563 https://rulinux.net/message.php?newsid=35375&page=1#116563 Thu, 01 Dec 2011 14:56:43 +0400 В блоге Лаборатории Касперского появилась заметка с разбором последствий взлома двух Linux-хостов, используемых злоумышленниками для управления Windows-машинами, пораженными троянским ПО Duqu. Хосты были представлены для анализа после того, как злоумышленники пытаясь замести следы, удалили содержимое директорий "/var/log" и "/root" с серверов. Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома.

Из всей активности злоумышленников наибольший интерес вызывают операции, связанные с OpenSSH, которым трудно найти логическое объяснение. На обоих хостах атакующие сразу после проникновения по каким-то причинам обновили OpenSSH с версии 4.3 до версии 5.x. На первом сервере в качестве обновления были использованы исходные тексты пакета openssh_5.8p1-4ubuntu1.debian.tar.gz из репозиториев Ubuntu, троянских вставок клиенте и сервере ssh не обнаружено (MD5-хэш копии соответствовал оригиналу). Спустя 5 месяцев было установлено обновление OpenSSH 5.8p2. На втором сервере новая версия была установлена из стандартного репозитория (yum install openssh5). После обновления в настройки "sshd_config" были добавлены две строки "GSSAPIAuthentication yes" и "UseDNS no" (обе опции прекрасно поддерживаются и в версии 4.3).

В настоящее время можно только предполагать, зачем атакующие после взлома обновили OpenSSH. Одна из гипотез указывает на вероятное наличие в OpenSSH 4.3 уязвимости, через которую злоумышленники проникли в систему и потом решили закрыть лазейку для других атакующих. Например, в OpenSSH 4.4 была устранена потенциальная уязвимость, проявляющаяся до стадии аутентификации и связанная с GSSAPI (активность в логе, напоминающая подбор пароля, может быть связана с достижением нужных условий "race condition"). Вторая, более правдоподобная гипотеза, связана с тем, что злоумышленникам понадобились какие-то функции, поддержка которых отсутствовала в OpenSSH 4.3 (например, появившийся в версии 5.4 режим netcat мог использоваться для создания вложенных туннелей). Но в любом случае не понятно зачем было нужно выполнять обновление OpenSSH 5.8p1 до версии 5.8p2.

В качестве наиболее вероятного способа проникновения в систему рассматривается результат атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH. В пользу этого предположения свидетельствует череда неудачных попыток входа, окончившихся удачным входом. Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв (после удачного применения эксплоита атакующий мог сменить пароль и войти штатными средствами).

Кроме двух упомянутых в статье серверов, аналогичные системы были выявлены в Индии, Вьетнаме, Германии, Сингапуре, Великобритании и других странах. Взлом серверов был произведён ещё в ноябре 2009 года. Опасение также вызывает тот факт, что все управляющие работой Duqu серверы были взломаны аналогичным образом и работали только под CentOS 5.x (5.4, 5.5 и 5.2). Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS.

http://www.opennet.ru/opennews/art.shtml?num=32437

]]>