On Wed, 20 Mar 2013 15:45:19 +0200 Michael Shigorin wrote: > On Wed, Mar 20, 2013 at 02:14:47PM +0400, Калинин Максим wrote: > > Попалось тут как-то на днях: > > http://www.securitylab.ru/news/438589.php > > Это для центоса по большей части, там был шляпный ляп: > http://www.opennet.ru/opennews/art.shtml?num=36198
Как раз этот ляп там совершенно не при чём — модуль pam_ssh_agent_auth не использовался ни на одной из взломанных систем. Вот ветка форума, где обсуждался этот руткит: http://www.webhostingtalk.com/showthread.php?t=1235797&page=84 Как раз на этой странице появились сообщения, что компания cPanel признала факт взлома их серверов, использовавшихся отделом техподдержки, а в базах там лежало множество паролей, предоставленных клиентами cPanel для доступа техподдержки к их серверам; так что для последующего внедрения руткитов на эти сервера не потребовалось искать там уязвимости. Кроме того, в некоторых случаях обнаруживали вредоносное ПО, похищающее пароли, на компьютерах с Windows, использовавшихся для администрирования серверов, где впоследствии был обнаружен руткит. Кстати, там же нашёлся интересный способ относительно безопасного предоставления root-доступа для техподдержки: http://www.webhostingtalk.com/showpost.php?p=8570958&postcount=1277 | About handing out login credentials to "unknown" people. (Like support | desks etc). What I do is: | | - I change the root pw. | - I create 2 users, one without any privileges, one with sudo | privileges. | - I login as the user without privileges and start screen. | - In the screen terminal I ssh to the local host logging in as the | user with the sudo privileges. | - Once logged in I sudo to root level. | - Then I disconnect from the screen session. | - I give the details of the non privileged user to the people | requiring access, and tell them to login and then connect with | "screen -x" to the privileged shell. | - At the same time I will have a screen session open attached to the | same terminal. That way I can see exactly what they are doing in the | root shell... If you see something you don't like, you just kill the | screen process... | - Once done I just remove the 2 new users, and everything should be | back to (relative) safety. I also change the root pw again, just in | case... | | I know, it is maybe not the best way, but it gives a lot more | control/overview what is happening... _______________________________________________ smoke-room mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/smoke-room
