He encontrado una vulnerabilidad de seguridad en la distribución actual de Linux. ¿Qué sigue?

2

He instalado ubuntu server 12.04 en VM hace dos semanas. He creado instantáneas regulares. Hace XXX tiempo noté una actividad inusual y descubrí que había una puerta trasera instalada en mi servidor. Uno de los archivos de puerta trasera fue sshd. Luego analicé los registros y encontré el host que se conectó a mi servidor en primer lugar (usando la contraseña de mi cuenta). El mismo método que extraje de sshd backdoored funcionó para acceder a la cuenta raíz del host atacante. He encontrado una cantidad significativa de hosts infectados (analizando los registros del host de ataque). Y he comparado el software en ejecución. Creo que he aislado el demonio que es vulnerable.

En situaciones normales, solo formatearía la máquina virtual y crearía una nueva (la estaba usando solo para desarrollo) pero tenía la última versión de Ubuntu Ubuntu 12.04 Linux. (14.04 se lanzó días después de haber creado la máquina virtual) Sin embargo, esto parece ser una vulnerabilidad grave por el número de hosts infectados (y algunos otros datos confidenciales) y por el hecho de que mi servidor estaba ejecutando la última versión con todas las actualizaciones de seguridad y Todavía fue hackeado.

Y para llegar a la pregunta, ¿qué debo hacer a continuación?

(Tengo todas las instantáneas (antes de la infección, después de eso), acceso a una gran cantidad de máquinas infectadas, y una VM de un servidor infectado que forma parte de algún tipo de red de bots que escanea e infecta a otros hosts, y algo de conocimiento sobre qué otros actividades que hace)

PD: no es un problema, ya que la versión de openssl de mi servidor es: OpenSSL 1.0.1 14 de marzo de 2012 construido en: lun 7 de abril 20:33:29 UTC 2014

Y el servicio que creo que es vulnerable no tiene vulnerabilidades conocidas.

PPS: ¿Cómo puedo verificar si esto es un exploit conocido?

    
pregunta Emski 01.05.2014 - 14:19
fuente

2 respuestas

3
  

Para informar sobre una vulnerabilidad de seguridad en un paquete de Ubuntu, presente un   error, o póngase en contacto con [email protected].

enlace

    
respondido por el SPRBRN 01.05.2014 - 14:27
fuente
0

Hay Linux, hay Ubuntu, y luego está el desarrollador del demonio afectado. Les avisaría a todos. Puede ir a la ruta Disclosure completo pero ahora le preguntaré qué se le preguntará cuando informe esto. Usted declaró: "Tenía las últimas actualizaciones de seguridad" para qué? Ubuntu, Linux, ¿el demonio que fue hackeado? Cada una es una entidad separada y solo porque usted actualizó Ubuntu no significa necesariamente que Ubuntu haya hecho un parche / solución para la aplicación vulnerable. A primera vista, parece que probablemente tenga Fokirtor que solo usa ssh como un peldaño Esto significa que es probable que tenga un problema DIFERENTE y que lo esté atribuyendo a SSH. Sin mirar los registros, es difícil para mí decirlo, así que es un juego de adivinanzas.

Ahora, también indica: "tiene acceso a muchas máquinas infectadas". Me quedaría a un millón de millas de distancia de acceder a cualquiera de las máquinas percibidas. Con tantos usuarios, investigadores, etc., utilizando Linux, BSD, etc., estoy seguro de que otros han visto lo que está viendo, tal vez su análisis sea diferente. En cualquier caso, me pondría en contacto con Ubuntu y el desarrollador del demonio que creas / percibes es el problema.

    
respondido por el munkeyoto 01.05.2014 - 14:37
fuente

Lea otras preguntas en las etiquetas