[devel] IA: recent compromises around team members
Dmitry V. Levin
ldv на altlinux.org
Пт Окт 8 00:13:09 MSD 2004
Hi,
Возможно, вы слышали, что несколько серверов, имеющих непосредственное
отношение к членам team, расположенным (физически) далеко друг от друга,
были недавно скомпрометированы. На данный момент у меня нет достоверной
информации о том, что было использовано для получения доступа, при том что
почерк во всех случаях схожий.
Из общих черт, на которые стоит обратить внимание:
- На всех скомпрометированных серверах openssh принимал соединения извне,
и при этом был настроен на "PermitRootLogin yes" в сочетании с
"PasswordAuthentication yes". Да, это противоречит здравому смыслу, это
отличается от настроек по умолчанию, но так было.
- На всех скомпрометированных серверах после взлома предпринималась
попытка скрыть следы проникновения из wtmp(5). При этом в лог попадала
строка "syslogin_perform_logout: logout() returned an error".
- Ни на одной из систем не использовался osec(8).
Рекомендую при случае проверить ваши системы на предмет взлома. :)
Если у вас в логе присутствует "syslogin_perform_logout", то это повод
отключить систему от сети и написать на security на altlinux.
--
ldv
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 189 байтов
Описание: отсутствует
Url : http://lists.altlinux.ru/pipermail/devel/attachments/20041008/2d1be394/attachment.bin
Подробная информация о списке рассылки Devel