[devel] IA: recent compromises around team members

[Dmitry V. Levin]

Hi,

Возможно, вы слышали, что несколько серверов, имеющих непосредственное
отношение к членам team, расположенным (физически) далеко друг от друга,
были недавно скомпрометированы.  На данный момент у меня нет достоверной
информации о том, что было использовано для получения доступа, при том что
почерк во всех случаях схожий.

Из общих черт, на которые стоит обратить внимание:
- На всех скомпрометированных серверах openssh принимал соединения извне,
  и при этом был настроен на "PermitRootLogin yes" в сочетании с
  "PasswordAuthentication yes".  Да, это противоречит здравому смыслу, это
  отличается от настроек по умолчанию, но так было.
- На всех скомпрометированных серверах после взлома предпринималась
  попытка скрыть следы проникновения из wtmp(5).  При этом в лог попадала
  строка "syslogin_perform_logout: logout() returned an error".
- Ни на одной из систем не использовался osec(8).

Рекомендую при случае проверить ваши системы на предмет взлома. :)

Если у вас в логе присутствует "syslogin_perform_logout", то это повод
отключить систему от сети и написать на security на altlinux.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20041008/2d1be394/attachment-0001.bin>