Atak na linuksowe serwery

US CERT ostrzega o przeprowadzanych właśnie atakach na serwery z systemem Linux. Atakujący najprawdopodobniej posługują się skradzionymi kluczami SSH, dzięki którym uzyskują dostęp do atakowanej maszyny i wykorzystują niedociągnięcia w jądrze systemu. Atakujący instalują rootkita Phalanx2, który wyszukuje w systemie nowe klucze SSH. Za ich pomocą można atakować kolejne maszyny.

US CERT nie podaje, o jaki błąd w Linuksie chodzi. Jednak prawdopodobnie atakujący wykorzystują lukę w generatorze liczb losowych dystrybucji Debian. Jest ona na tyle poważna, że klucze szyfrujące można odgadnąć w ciągu kilku godzin. Debian udostępnił odpowiednie poprawki już w maju.

Na szczęście Phalanx2 jest łatwy do wykrycia. Jedną z cech charakterystycznych ataku jest fakt, iż komenda ls nie pokazuje katalogu /etc/khubd.p2/, do którego jednak możemy wejść używając komendy cd.