Организация US-CERT выпустила (http://www.us-cert.gov/current/#ssh_key_based_attacks) информационное письмо с предупреждением о набирающей обороты автоматизированной атаке по взлому Linux систем. Суть атаки в следующем: Путем перебора тривиальных паролей (http://hep.uchicago.edu/admin/report_072808.html) и типичных логинов, а также при наличии беспарольных ssh входов с другой атакованной системы, осуществляется попытка проникновения на машину.
В случае удачи создается "черный ход" - в файлы .ssh/known_hosts и .ssh/authorized_keys вносятся изменения, позволяющие злоумышленнику или червю в дальнейшем, после смены пароля пользователя, повторно проникать в систему через аутентификацию по ключам в ssh. Далее производится попытка получения привилегий суперпользователя, путем применения vmsplice (https://www.opennet.ru/opennews/art.shtml?num=14141) (?) эксплоита для Linux ядра. И в заключении, начальная фаза атаки завершается установкой rootkit комплекта phalanx2, скрывающего файл...
URL: http://www.us-cert.gov/current/#ssh_key_based_attacks
Новость: https://www.opennet.ru/opennews/art.shtml?num=17592