[devel] IA: recent compromises around team members

[Artem Pastukhov]

Надеюсь с этих машин ничего в новый Мастер не попало?

В сообщении от Пятница 08 Октябрь 2004 00:13 Dmitry V. Levin написал(a):
> Hi,
>
> Возможно, вы слышали, что несколько серверов, имеющих непосредственное
> отношение к членам team, расположенным (физически) далеко друг от друга,
> были недавно скомпрометированы.  На данный момент у меня нет достоверной
> информации о том, что было использовано для получения доступа, при том что
> почерк во всех случаях схожий.
>
> Из общих черт, на которые стоит обратить внимание:
> - На всех скомпрометированных серверах openssh принимал соединения извне,
>   и при этом был настроен на "PermitRootLogin yes" в сочетании с
>   "PasswordAuthentication yes".  Да, это противоречит здравому смыслу, это
>   отличается от настроек по умолчанию, но так было.
> - На всех скомпрометированных серверах после взлома предпринималась
>   попытка скрыть следы проникновения из wtmp(5).  При этом в лог попадала
>   строка "syslogin_perform_logout: logout() returned an error".
> - Ни на одной из систем не использовался osec(8).
>
> Рекомендую при случае проверить ваши системы на предмет взлома. :)
>
> Если у вас в логе присутствует "syslogin_perform_logout", то это повод
> отключить систему от сети и написать на security на altlinux.

-- 
С уважением 
Артем Пастухов, past (at) yam.ru
YAM International