[NIXP] ESET: Операция Windigo заразила более 25 тысяч серверов на Linux/UNIX

[Dmitry Shurupov]

Исследователи из антивирусной компании ESET со своими коллегами из нескольких европейских агентств зафиксировали в сети крупную атаку «Операция Windigo», которая привела к заражению более 25 тысяч серверов, работающих под управлением ОС GNU/Linux и других UNIX-подобных систем. По данным отчета, операция Windigo началась еще в конце 2011 года и с тех пор успела найти свое «применение» в инфраструктуре многих организаций (в том числе — cPanel и Linux Foundation) и на широком спектре ОС: Linux (около 60 %), FreeBSD, OpenBSD, Mac OS X и даже Windows через Cygwin. В рамках этой операции ESET рассматривает три основных зловредных компонента, заражающих серверные системы:

• Ebury — бэкдор к OpenSSH для управления сервером и получения учетных данных системных пользователей;
• Cdorked — бэкдор к веб-серверам (Apache, nginx, lighttpd) для перенаправления веб-трафика;
• Calfbot — Perl-скрипт для рассылки спама (он «виноват» в ежедневной отправке более 35 миллионов спам-сообщений по всему миру).

Примечательно, что для достижения своих целей злоумышленники не эксплуатируют уязвимости в безопасности программного обеспечения — для этого использовались лишь различные способы получения паролей для SSH-доступа. В связи с этим, авторы исследования высказывают мнение, что аутентификация на серверах по паролю — архаизм, от которого пора отказаться. Подробное исследование операции Windigo с хронологией событий и техническими деталями обнаруженных проблем опубликованы в этом отчете (PDF; 3,5 Мб).

оригинал на www.nixp.ru

[Bizdelnick]

Забыли добавить главное.
Диагностика Ebury: ssh -G 2>&1 | grep -q -e illegal -e unknown && echo 'System clean' || echo 'System infected'
Диагностика Calfbot: flock --nb /tmp/... echo 'System clean' || echo 'System infected'

[Janik]

Сначала прочел как "Операционная система Windows заразила..."
Кстати, а чем можно заменить пароли?

[SinClaus]

Авторизация по ключу - наше всё. И лучше через VPN

[Janik]

А разве ключ нельзя ли перехватить и использовать в своих темных делах?

[Bizdelnick]

А разве ключ нельзя ли перехватить и использовать в своих темных делах?

Чтобы его можно было перехватить, нужно, чтобы он передавался. А он не передаётся. Спереть с Вашей машины его, конечно, можно, но если он зашифрован качественной пассфразой, от этого толку немного.

[Janik]

А, тогда информация сервера идет зашифрованной, и на клиентской машине она расшифровывается, да?

[Bizdelnick]

А, тогда информация сервера идет зашифрованной, и на клиентской машине она расшифровывается, да?

В SSH вся передаваемая информация шифруется. Всегда.

[Janik]

Хорошо, а как же авторизовываться по ключу?

[NickLion]

Кратко и грубо: на сервере одна "половинка", у клиента вторая. Если всё норм, то происходит подключение.
Подробнее можете прочитать об асимметричном шифровании: http://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключом
ЭЦП: http://ru.wikipedia.org/wiki/Электронная_цифровая_подпись
О конкретно ssh/ssh-keygen, можно, например, тут: http://habrahabr.ru/post/122445/

[Bizdelnick]

Не авторизация, а аутентификация. См. rfc4252.

[Janik]

Ок, будем изучать.

[Hephaestus]

Я правильно понял, что 25 тысяч серверов из новости не использовали ключи для аутентификации?

Даже я, когда поднимал на работе шлюз на базе Debian, рулил им по ssh и использовал ключи, хотя этот шлюз был доступен только в локальной сети и никому не нужен, кроме меня. И тем не менее, я использовал ключи - просто так удобнее.

Мне казалось, что аутентификация по ключу - это давно уже общепринятая практика.

[Bizdelnick]

Я правильно понял, что 25 тысяч серверов из новости не использовали ключи для аутентификации?

Не обязательно. Ключи могли использоваться наравне с паролями.