[room] Linux.sshdkit

Sergey Vlasov vsu на altlinux.ru
Пт Мар 22 20:39:12 MSK 2013


On Wed, 20 Mar 2013 15:45:19 +0200 Michael Shigorin wrote:

> On Wed, Mar 20, 2013 at 02:14:47PM +0400, Калинин Максим wrote:
> > Попалось тут как-то на днях:
> > http://www.securitylab.ru/news/438589.php
> 
> Это для центоса по большей части, там был шляпный ляп:
> http://www.opennet.ru/opennews/art.shtml?num=36198

Как раз этот ляп там совершенно не при чём — модуль pam_ssh_agent_auth
не использовался ни на одной из взломанных систем.

Вот ветка форума, где обсуждался этот руткит:

  http://www.webhostingtalk.com/showthread.php?t=1235797&page=84

Как раз на этой странице появились сообщения, что компания cPanel
признала факт взлома их серверов, использовавшихся отделом техподдержки,
а в базах там лежало множество паролей, предоставленных клиентами cPanel
для доступа техподдержки к их серверам; так что для последующего
внедрения руткитов на эти сервера не потребовалось искать там
уязвимости.  Кроме того, в некоторых случаях обнаруживали вредоносное
ПО, похищающее пароли, на компьютерах с Windows, использовавшихся для
администрирования серверов, где впоследствии был обнаружен руткит.

Кстати, там же нашёлся интересный способ относительно безопасного
предоставления root-доступа для техподдержки:

  http://www.webhostingtalk.com/showpost.php?p=8570958&postcount=1277

| About handing out login credentials to "unknown" people. (Like support
| desks etc). What I do is:
| 
| - I change the root pw.
| - I create 2 users, one without any privileges, one with sudo
|   privileges.
| - I login as the user without privileges and start screen.
| - In the screen terminal I ssh to the local host logging in as the
|   user with the sudo privileges.
| - Once logged in I sudo to root level.
| - Then I disconnect from the screen session.
| - I give the details of the non privileged user to the people
|   requiring access, and tell them to login and then connect with
|   "screen -x" to the privileged shell.
| - At the same time I will have a screen session open attached to the
|   same terminal. That way I can see exactly what they are doing in the
|   root shell... If you see something you don't like, you just kill the
|   screen process...
| - Once done I just remove the 2 new users, and everything should be
|   back to (relative) safety. I also change the root pw again, just in
|   case...
| 
| I know, it is maybe not the best way, but it gives a lot more
| control/overview what is happening...


Подробная информация о списке рассылки smoke-room