Ny generation av Linux virus.
Säkerhetsorganisationen CERT varnar för att en elak linux mask vid namn Phalanx2, håller på att sprida sig över nätet och samla in SSH-nycklar.
Hackaren tar sig in i ett system via OpenSSH med hjälp av nycklar de kommit över. Även om Debians säkerhetsbrist inte nämns i sammanhanget är det troligt att hackaren tagit sig in i olika system den vägen och sedan fortsatt.
Debian hade missat att implementera en slumptalsfunktion när nya nycklar plockades fram och som källa användes bara ett tal mellan 1 och 65535. Att gissa en nyckel kunde därmed gå riktigt snabbt.
Efter ett lyckat intrång används en lokal säkerhetsbrist (local exploit) för att masken skall få administrativa rättigheter.
Masken som går under namnet Phalanx2 är en modifierad variant av ett rootkit vid namn Phalanx, och tar sig in i kärnan, gömmer sina filer, processer, sockets och öppnar upp en TTY i ditt system.
Phalanx2 är extra elak eftersom koden har utformats för att söka igenom ditt system efter andra SSH-nycklar och använda dem för att sedan hoppa till fler system.
Masken är ändå enkel att upptäcka. Om du kan ändra aktuell katalog till /etc/khubd.p2 så har du problem. (Katalogen syns inte i en ls-listning). Det kan även ligga filer som masken använt under /dev/shm.
CERT rekommenderar administratörer att bekräfta sina SSH-nycklar med starka lösenord för att minska stöldrisken.
Källa: HEP @ University of Chicago/CERT
Inlägg
Skicka en kommentar