[devel] IA: recent compromises around team members

[Dmitry V. Levin]

Hi,

Возможно, вы слышали, что несколько серверов, имеющих непосредственное
отношение к членам team, расположенным (физически) далеко друг от друга,
были недавно скомпрометированы.  На данный момент у меня нет достоверной
информации о том, что было использовано для получения доступа, при том что
почерк во всех случаях схожий.

Из общих черт, на которые стоит обратить внимание:
- На всех скомпрометированных серверах openssh принимал соединения извне,
  и при этом был настроен на "PermitRootLogin yes" в сочетании с
  "PasswordAuthentication yes".  Да, это противоречит здравому смыслу, это
  отличается от настроек по умолчанию, но так было.
- На всех скомпрометированных серверах после взлома предпринималась
  попытка скрыть следы проникновения из wtmp(5).  При этом в лог попадала
  строка "syslogin_perform_logout: logout() returned an error".
- Ни на одной из систем не использовался osec(8).

Рекомендую при случае проверить ваши системы на предмет взлома. :)

Если у вас в логе присутствует "syslogin_perform_logout", то это повод
отключить систему от сети и написать на security на altlinux.


-- 
ldv
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: отсутствует
Url     : http://lists.altlinux.ru/pipermail/devel/attachments/20041008/2d1be394/attachment.bin