Sindicación
Sistemas GNU/Linux amenazados por SSH-Key Attacks
Vie, 29/08/2008 - 13:04
Parece que el ataque aprovecha keys SSH robadas para obtener acceso al sistema y, posteriormente, usar un local kernel exploit para obtener acceso root e instalar el rootkit phalanx2. US-CERT (United States Computer Emergency Readiness Team) advirtió públicamente el pasado martes de ataques a sistemas GNU/Linux usando claves SSH comprometidas.
Recordemos que SSH (Secure Shell) sirve para acceder on line a máquinas remotas y que permite su manejo mediante comandos en la terminal/consola.
El grupo de seguridad Packet Storm informó que “Phalanx2, derivado del anterior rootkit phalanx, es un rootkit autoinyectado diseñado para la rama Linux 2.6 que no usa el deshabilitado /dev/kmem”. Añadieron que “las caracterÃsticas (del rootkit) incluyen la ocultación del archivo, ocultación del proceso, ocultación de socket, tty sniffer, tty connectback-backdoor y autoinclusión en el boot”.
US-CERT recomiendan usar passphrases (secuencia de palabras o texto usado para el control de acceso a un sistema). También recomiendan revisar los logs de acceso para identificar posibles entradas no identificadas.
Fuente: informationweek
Comparte esta entrada
Parece que el ataque aprovecha keys SSH robadas para obtener acceso al sistema y, posteriormente, usar un local kernel exploit para obtener acceso root e instalar el rootkit phalanx2. US-CERT (United States Computer Emergency Readiness Team) advirtió públicamente el pasado martes de ataques a sistemas GNU/Linux usando claves SSH comprometidas.
Recordemos que SSH (Secure Shell) sirve para acceder on line a máquinas remotas y que permite su manejo mediante comandos en la terminal/consola.
El grupo de seguridad Packet Storm informó que “Phalanx2, derivado del anterior rootkit phalanx, es un rootkit autoinyectado diseñado para la rama Linux 2.6 que no usa el deshabilitado /dev/kmem”. Añadieron que “las caracterÃsticas (del rootkit) incluyen la ocultación del archivo, ocultación del proceso, ocultación de socket, tty sniffer, tty connectback-backdoor y autoinclusión en el boot”.
US-CERT recomiendan usar passphrases (secuencia de palabras o texto usado para el control de acceso a un sistema). También recomiendan revisar los logs de acceso para identificar posibles entradas no identificadas.
Fuente: informationweek
Comparte esta entrada
Noticia original: linux.adslzone.net