Servidores Linux, bajo ataque

Enviado por admin el 27. Agosto 2008 - 12:35.

El US-CERT acaba de publicar un aviso sobre la detección de un aumento de ataques contra infraestructuras basadas en Linux mediante el uso de claves SSH comprometidas, probablemente relacionadas con el famoso fallo de Debian. Especialmente vulnerables son los sitios en que la identificación se realiza mediante claves no protegidas por contraseña.

Tras lograr el acceso al sistema, se utilizan "exploits" contra vulnerabilidades del kernel para obtener privilegios de "root". Acto seguido, se procede a instalar un rootkit (Phalanx2) en el sistema así comprometido, el cual roba nuevas claves que se utilizan para comprometer otros sitios u otros sistemas de la propia infraestructura comprometida.

Para detectar si nuestro sistema ha sido comprometido, además de revisar los controles habituales (Tripwire, buscar procesos ocultos, etc) hay que comprobar si existe un directorio /etc/khubd.p2/. No vale utilizar el comando ls (se oculta de él), sino tratar de entrar con un cd /etc/khubd.p2/

Si el sistema aparece comprometido, US-CERT recomienda deshabilitar la autenticación mediante claves SSH, auditar las claves en uso y avisar a los usuarios en riesgo...

 

Referencias:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Vaya!

Enviado por DarwinSoft el 27. Agosto 2008 - 12:56.

Como minimo este tipo de cosas deberian de servir para que los fanboys de turno miren la realidad (cualquier sistema es vulnerable) en vez de escudarse en las tan cacareadas fantasias de algunos (Linux es inmune a los virus y troyanos).

De todas formas y como opinion personal si hay empresas que aun no actualizaron sus claves SSH despues del revuelo que se armo merecen ser victimas ya que no han actuado con responsabilidad ni han hecho los deberes.

Un Saludo.

Esteeeee

Enviado por anónimo el 27. Agosto 2008 - 15:23.

¿Y en qué medida esta noticia demuestra que linux sea vulnerable a virus o troyanos?

No digo que lo sea, lo que digo es que esta noticia no tiene nada que ver con eso.

Sí, virus, troyanos y Rootkits

Enviado por anónimo el 28. Agosto 2008 - 7:50.

Sí, esta noticia habla de troyanos porque describe el comportamiento habitual de un rootkit, ocultar el malware a los ojos del sistema, como en el caso de la carpeta ante el ls.

No es estrictamenten lo mismo

Enviado por anónimo el 28. Agosto 2008 - 14:12.

De wikipedia:

A trojan is malware that appears to perform a desirable function but in fact performs undisclosed malicious functions.

A rootkit is a program (or combination of several programs) designed to take fundamental control (in Unix terms "root" access, in Windows "Administrator" access) of a computer system, without authorization by the system's owners and legitimate managers. Typically, rootkits act to obscure their presence on the system through subversion or evasion of standard operating system security mechanisms. Often, they are Trojans as well, thus fooling users into believing they are safe to run on their systems.

Prestad atención a la última frase: "Frecuentemente son también Troyanos, que engañan al usuario haciéndole creer que es seguro ejecutarlos en su sistema". Mi interpretación del texto es que con frecuencia un programa (o grupo de programas) malicioso es AL MISMO TIEMPO un rootkit y un troyano. En el caso particular que nos toca (en la noticia), el rootkit no es instalado por el usuario (no es "troyanizado") sino que es "injectado" en el sistema utilizando cierta vulnerabilidad en claves SSH débiles. Ergo, no funciona como "troyano".

PD: Lo siento por la cita de Wikipedia en inglés pero la versión española deja mucho que desear todavía.

¿Virus? ¿Troyanos?

Enviado por anónimo el 27. Agosto 2008 - 15:24.

¿Quién habló de virus o troyanos?

A ver, intentad un remote login sobre un W$ y me contáis. O tal vez de explotar las fallas de autentificación que hay en NetBios desde haces años (tan notorias que hasta existen programas que cualquiera puede bajar para explotarlas).

Netbios?

Enviado por anónimo el 27. Agosto 2008 - 16:32.

WTF!!!!

Que nos encontramos en la era de Win9x o que?

Ay estos noobs, creen que por leer un manual "para ser hacker" de 1998 ya saben de todo.

Sí, netbios

Enviado por anónimo el 28. Agosto 2008 - 10:13.

Pues sí. Ocurre que una empresa tan importante como Microsoft, no puede darse el lujo de estar poniendo atención a tales minucias como que un protocolo sea malo. Si se difunde mucho el uso, por ejemplo, de tcp/ip, simplemente encapsulan su viejo protocolo en él. Para qué gastar dinero en desarrollos nuevos pudiendo gastarlo en publicidad o en comprar o boicotear a los competidores o en sobornar funcionarios?

Demuestra otra cosa

Enviado por anónimo el 28. Agosto 2008 - 10:11.

Esto no demuestra que Linux sea vulnerable. Lo que demuestra es que la mayor fortaleza de Linux está en la variedad. Mientras existen 2 o 3 versiones de windows, existen 20 o 30 de linux en uso. Al ser tantos, es casi imposible que todos tengan el mismo problema y por lo tanto el descubrimiento de un agujero no pone en peligro a la mayoría sino a una pequeña parte.

Por otro lado, esto demostrará a los fanboys de Microsoft lo que es la velocidad de reacción de la comunidad del software libre. Mientras los pobres administradores de Windows tienen que aguantarse los ataques por meses los administradores de Linux tienen las actualizaciones instaladas incluso antes de que se difunda la noticia de que la vulnerabilidad existe gracias a que pueden actualizar con total tranquilidad sin miedo a que algo deje de funcionar.

Pero claro, existe un GRAN punto a favor de windows que deja en la nada todas las ventajas de otros sistemas: es "fácil"...

Seguro??

Enviado por anónimo el 29. Agosto 2008 - 17:27.

"Actualizaciones instaladas incluso antes de que se difunda la noticia de que la vulnerabilidad existe gracias a que pueden actualizar con total tranquilidad sin miedo a que algo deje de funcionar."

TOTAL TRANQUILIDAD NO??? ja

Y esto no acaba más que empezar

Enviado por Euclydex el 27. Agosto 2008 - 12:58.

-Primero el bug de debian hace meses. Luego Fedora y Red Hat.Se sigue trabajando en la seguridad. Además los administradores UNIX que somos conscientes del tema, ponemos atención completa al asunto. Si algo he aprendido en este vida es que no hay sistema seguro, tan sólo un sistema aceptable. Eso de imposible esto, imposible aquello se lo dejo a los "sabios de este planeta", que por supuesto todo lo saben (por eso son sabios).

123siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
3 + 0 =
Resuelve esta sencilla operación e introduce el resultado.