Az adathalászok egyre szervezettebbek, feltört Linux gépeket használnak

Titkosítás, biztonság, privát szféra

Adathalászok nemrég 1 200 eBay felhasználó adatát lopták el és tették közzé online fórumon. Az Ebay alapos biztonsági vizsgálatot tartott a saját házatáján, amelynek során arra a felfedezésre jutott, hogy számos feltört, botnet hálózatba tartozó gép vesz részt az online támadásokban. Dave Cullinane, az eBay vezető biztonsági szakembere egy, a Microsoft által támogatott biztonsági konferencián beszélt erről. Cullinane szerint az adathalászok egyre ügyesebbek, egyre szervezettebbek. Beszélt arról is, hogy az online fenyegetések nagyrésze feltört, rootkit-tel ellátott Linux gépek felől érkezik.

Alfred Huger, a Symantec egyik szakembere megerősítette, hogy sok Linux gép vesz rész online támadásokban. A Linux gépeket botnet-ek irányítóközpontjaként használják, a támadásra használt botok viszont szinte kizárólag Windows-alapú gépek. Mivel a Linux-alapú gépeken könnyedén lehet speciálisan formázott hálózati csomagokat létrehozni, kifinomult hálózati támadásokhoz lehet őket felhasználni. - mondta Iftach Amit, egy kártékony programok kutatására szakosodott cég igazgatója. Az efféle tulajdonságaik miatt a [feltört] Linux gépek nagy népszerűségnek örvendenek az online támadók körében és jó áron pörögnek az underground piactereken.

A cikk itt.

( turul16 v | 2007. 10. 05., p – 20:43 )

Ki mondta, hogy nem lehet közpönti managamenet rendszert csinalni Linux Boxokból ? Még az adathalászoknak is megy :)

test felhasználó létrehozása majdnem halálos, test vagy test1 jelszóval öngyilkosság :)

( zamboriz v | 2007. 10. 05., p – 20:55 )

> a [feltört] Linux gépek nagy népszerűségnek örvendenek az online támadók körében és jó áron pörögnek

Ki mondta, hogy support nélküli linux-ért nem lehet pénzt kérni?

:-)))

( Xterm v | 2007. 10. 05., p – 21:04 )

és egy ilyen "hírt" egy ms támogatott rendezvényen jelentenek be. ééérdekes...

( Replaced | 2007. 10. 05., p – 21:06 )

ahaha

--
Bow down and admit defeat. | Old, weak and obsolete.

( muczy v | 2007. 10. 05., p – 22:50 )

Valamelyest témához kapcsolódó kérdés:
a chkrootkit elegendő rootkitek keresésére? Van esetleg valamilyen más módszer? Cron-ból futtassam, és akkor nekem az jó?

Gentoo Karvaly

"mint normál userként betörni, majd su-t próbálgatni?"

Már ahol tudod (wheel group). De egy exploit akár jó lehet ;)

Szerintem a jobb megoldás a 22 portra bejövő kapcsolatok teljes blokkolása és csak megbízható IP-kről való engedélyezése. Plusz ez még akár kombinálható privát/publikus kulcs használatának kötelezővé tételével.

--
trey @ gépház

Akkor mégegyszer. Nem az ssh default 22-es portjának más portra való áthelyezéséről beszéltem, hanem arról, hogy szabályzom, hogy az én szerveremen futó sshd-t ki, milyen IP-ről érheti el. Azaz nem az egész nagyvilág, hanem csak egyes host-ok. Ezt kombinálható kulcs-alapú authentikációval.

--
trey @ gépház

múltkor majd leestem a székről... ugye általában root, ftp és hasonlókkal akarnak bejutni a gépre, viszont valamelyik logfileban ilyen neveket próbálgatott vki, mint:
béla, lipót, lóránd, lászló, medárd, ozsvát, rókus, szervác...
Azt hiszem itt az új generációs megoldás :D

Hát ugye akkor egy valid usernév-jelszó párost kell kitalálni, root esetén pedig a usernév adott. Persze userneveket ilyen-olyan kerülő módon általában meg lehet szerezni, de egy távoli, botnetgyűjtés céljából automatizált támadás esetén ez nem jellemző, sokkal inkább akkor, ha valaki kifejezetten a te rendszeredbe akar bejutni.
Meg mondjuk log analízis alapú intrusion detection esetén is jó, ha nincs root login engedve, mert a legitim root jelszót ismerő felhasználók ezt nyilván tudják, ha valaki mégis ezzal próbálkozik, és mondjuk az első két sikertelen kisérlet után nem ugrik be neki, hogy "ja, hülye vagyok, előbb userként kell belépnem", akkor az ids rögtön jelezhet, hogy valami disznóság folyik.
---
Sok gyerekkel ellentétben én sose akartam tűzoltó lenni. Lettem helyette informatikus. Nem találjátok ki, hogy mit csinálok nap mint nap...

( Winember | 2007. 10. 06., szo – 00:56 )

Érdekes a cikk.
De az még érdekesebb, hogy az Opera (igaz még a 8.54-es) csak addíg hozza be a cikket, hogy:"... hogy az online fenyegetések nagyrésze feltört, rootkit-tel ellátott Linux gépek felől érkezik."

És a második szakasz már nem is látszik (a hír további része).
A hozzászólásokból pedig egy sem jelent meg.
(??)

Pedig a HTML forásban benne vannak mindezek.
Mi lehet a "hunyó"? A DRUPAL, vagy az Opera?

( CaptSheldon | 2007. 10. 06., szo – 09:54 )

Pedig a HTML forásban benne vannak mindezek.
Mi lehet a "hunyó"? A DRUPAL, vagy az Opera?

..ha ez segít valamit a hiba kiderítésében, a FF-os HTML tidy errort jelez az oldalon...

( traktor | 2007. 10. 07., v – 02:57 )

Hogy ez milyen hiteles igy. :)

"Microsoft által támogatott biztonsági konferencián beszélt erről... az online fenyegetések nagyrésze feltört, rootkit-tel ellátott Linux gépek felől érkezik."

Mondjuk csodalom, hogy ezt nem cenzuraztak ki a jelentesbol:

"A Linux gépeket botnet-ek irányítóközpontjaként használják, a támadásra használt botok viszont szinte kizárólag Windows-alapú gépek."

Hat ugy latszik csak Linuxrol kenyelmes halozatot managelni. ;)

Meg ugye az, hogy a Linuxos gepek szama no a botnetekben, az nem jelenti azt, hogy kozben a windowsosoke nem no ketszer akkora utemben. ;)

( andrej_ v | 2007. 10. 07., v – 08:47 )

Aztat szeretném kérdezni, hogy azt melyik konferencián jelentik be, hogy a spamrobot zombi gépek hány %-a windows és hogy pontosan mi miatt is lettek zombivá?