Страница 1 из 1
Linux безопасность
Добавлено: 05 май 2005, 17:16
Anonymous
Добрый день!
Буквально в течение последних 10 дней появилась проблема следующего плана. На машине установлен Linux Red Hat 9.0 Proffesional с полностью стандартной конфигурацией. И уже за последние 10 дней в него пробралось 2 червяка (на разные машины) и кажется совершенно одинаковые. Они подменяют в /etc/ssh на ssh2 и так далее. Конечно файрволы не дают сделать ничего особо плохого, но все таки.
Может кто знает где дыра?
Добавлено: 05 май 2005, 18:25
Llama
Slava_, ну ты блин наивен. В ssl дырень. RH9 в дефолте - это анус. Полный причем. Я один из своих хостингов свое время сссильно задолбался штопать.
Добавлено: 05 май 2005, 18:44
Anonymous
А если ssl отключен?
Добавлено: 05 май 2005, 18:55
Llama
Slava_, LOL. А откуда в rh есть sshd без ssl?
Добавлено: 15 май 2005, 03:13
Anonymous
to LLama.
¬аша информаци¤ не соответсвует действительности. ssh демон (из пакета openssh 3.7, который ставитс¤ по-умолчанию в RH9) не использует Secure Socket Layer. ќн использует криптографическую библиотеку, вход¤щую в состав пакета OpenSSL (libcrypto) и никаких общеизвестных ошибок, позвол¤ющих удалЄнно атаковать sshd от RH9 в ней нет.
Ќќ
¬ данной версии sshd есть интересна¤ ошибка, св¤занна¤ с heap corruption в коде управлени¤ буфферами. ќна потенциально может быть использована дл¤ получени¤ доступа в систему извне, однако "в массы" такой эксплоит пока что не попадал (по крайней мере мне неизвестен).
ѕривожу линк, где можно увидеть все security апдейты дл¤ RH9.
https://rhn.redhat.com/errata/rh9-errata-security.html
to Slava: если можно, расскажите более подробно о симптомах.
что именно произошло, какие файлы были изменены и тп.
Добавлено: 15 май 2005, 03:15
Anonymous
прошу мен¤ извинить за странный глюк с кодировкой сообщени¤.
хот¤ возможно он и не на моей стороне
Добавлено: 15 май 2005, 09:27
Anonymous
Если более подробно, то в /etc/ при установке создается папка ssh, червяк ее не трогает, но создает там же свою ssh2 при этом заменяются многие файлы ssh на ссылки на ssh2
В /dev/ создается файл в который в открытом виде записываются все пароли вводимые на компе.
А далее все как в статье
http://www.honeynet.org/scans/scan29/so ... homas.html
Сейчас я переставил openssl and openssh - вроде пока больше никаких проявлений нет.
Добавлено: 15 май 2005, 14:06
Llama
Infra, т.е. будем считать что ссыслку вами данную вы ввобще не читали. Ибо там ка минимум упоминается еще пару дыр в OpenSSL которые позволяют провести DOS против практически любой программы их использующей.
PS: считать, что если эксплоит не нашелся в гугле, то его нет вообще - ИМХО глупо.
PS: Мне просто лениво пока смотреть в CAN
Добавлено: 15 май 2005, 17:27
Anonymous
Чсылку § читал. ї в отличии от вас, читал внимательно, и понимаю что там написано. Мовторюсь ещ™ раз. OpenSSL - это большой пакет, и состоит из нескольких библиотек. Уе дыры, на которые вы ссылаетесь, относ§тс§ к libssl. Но OpenSSH не использует libssl. Эн использует только libcrypto.
ђообщем § не хочу флеймить (это пустое зан§тие). § просто не согласилс§ с вашим утверждением, что дыра в sshd именно из-за ssl. љолее того, § совсем не спорю, что дыра имеенно в sshd. просто вызвана она другой ошибкой (о которой §, кстати, и упом§нул).
Ччитать что эксплоит отсутсвует, если его нет в гугле - на самом деле глупо. Но § такого и не утверждал. § лишь сделал предположение, что по§вление черв§, беспор§дочно атакующего Linux системы, навр§дли останетс§ незамеченным
дл§ сообщества (особенно метод проникновени§ в систему). ї навр§дли эксплоит осталс§ бы в тени. Юожет быть это просто не червь ?
Уакже ограничиватьс§ одним лишь sshd не стоит. Њоэтому § и интересуюсь у автора поста, какой еще софт был установлен в его системе а также о детал§х инцидента.
Llama, љез обид.
P.S. а русский апач на forum.linux.by всЄже глючит.