Hi,

Возможно, вы слышали, что несколько серверов, имеющих непосредственное
отношение к членам team, расположенным (физически) далеко друг от друга,
были недавно скомпрометированы.  На данный момент у меня нет достоверной
информации о том, что было использовано для получения доступа, при том что
почерк во всех случаях схожий.

Из общих черт, на которые стоит обратить внимание:
- На всех скомпрометированных серверах openssh принимал соединения извне,
  и при этом был настроен на "PermitRootLogin yes" в сочетании с
  "PasswordAuthentication yes".  Да, это противоречит здравому смыслу, это
  отличается от настроек по умолчанию, но так было.
- На всех скомпрометированных серверах после взлома предпринималась
  попытка скрыть следы проникновения из wtmp(5).  При этом в лог попадала
  строка "syslogin_perform_logout: logout() returned an error".
- Ни на одной из систем не использовался osec(8).

Рекомендую при случае проверить ваши системы на предмет взлома. :)

Если у вас в логе присутствует "syslogin_perform_logout", то это повод
отключить систему от сети и написать на security@altlinux.


-- 
ldv