From: Sergey Vlasov <vsu@altlinux.ru>
To: smoke-room@lists.altlinux.org
Subject: Re: [room] Linux.sshdkit
Date: Fri, 22 Mar 2013 20:39:12 +0400
Message-ID: <20130322203912.5b3b7350@center4.lan.mivlgu.ru> (raw)
In-Reply-To: <20130320134518.GK2057@osdn.org.ua>
On Wed, 20 Mar 2013 15:45:19 +0200 Michael Shigorin wrote:
> On Wed, Mar 20, 2013 at 02:14:47PM +0400, Калинин Максим wrote:
> > Попалось тут как-то на днях:
> > http://www.securitylab.ru/news/438589.php
>
> Это для центоса по большей части, там был шляпный ляп:
> http://www.opennet.ru/opennews/art.shtml?num=36198
Как раз этот ляп там совершенно не при чём — модуль pam_ssh_agent_auth
не использовался ни на одной из взломанных систем.
Вот ветка форума, где обсуждался этот руткит:
http://www.webhostingtalk.com/showthread.php?t=1235797&page=84
Как раз на этой странице появились сообщения, что компания cPanel
признала факт взлома их серверов, использовавшихся отделом техподдержки,
а в базах там лежало множество паролей, предоставленных клиентами cPanel
для доступа техподдержки к их серверам; так что для последующего
внедрения руткитов на эти сервера не потребовалось искать там
уязвимости. Кроме того, в некоторых случаях обнаруживали вредоносное
ПО, похищающее пароли, на компьютерах с Windows, использовавшихся для
администрирования серверов, где впоследствии был обнаружен руткит.
Кстати, там же нашёлся интересный способ относительно безопасного
предоставления root-доступа для техподдержки:
http://www.webhostingtalk.com/showpost.php?p=8570958&postcount=1277
| About handing out login credentials to "unknown" people. (Like support
| desks etc). What I do is:
|
| - I change the root pw.
| - I create 2 users, one without any privileges, one with sudo
| privileges.
| - I login as the user without privileges and start screen.
| - In the screen terminal I ssh to the local host logging in as the
| user with the sudo privileges.
| - Once logged in I sudo to root level.
| - Then I disconnect from the screen session.
| - I give the details of the non privileged user to the people
| requiring access, and tell them to login and then connect with
| "screen -x" to the privileged shell.
| - At the same time I will have a screen session open attached to the
| same terminal. That way I can see exactly what they are doing in the
| root shell... If you see something you don't like, you just kill the
| screen process...
| - Once done I just remove the 2 new users, and everything should be
| back to (relative) safety. I also change the root pw again, just in
| case...
|
| I know, it is maybe not the best way, but it gives a lot more
| control/overview what is happening...
next prev parent reply other threads:[~2013-03-22 16:39 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2013-03-20 10:14 Калинин Максим
2013-03-20 13:45 ` Michael Shigorin
2013-03-22 16:39 ` Sergey Vlasov [this message]
2013-03-22 16:45 ` Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20130322203912.5b3b7350@center4.lan.mivlgu.ru \
--to=vsu@altlinux.ru \
--cc=smoke-room@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
Культурный офтопик
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/smoke-room/0 smoke-room/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 smoke-room smoke-room/ http://lore.altlinux.org/smoke-room \
smoke-room@lists.altlinux.org smoke-room@lists.altlinux.ru smoke-room@lists.altlinux.com smoke-room@altlinux.ru smoke-room@altlinux.org smoke-room@altlinux.com
public-inbox-index smoke-room
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.smoke-room
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git