Ataques Activos a Linux vía SSH

El equipo del Computer Emergency Readiness (CERT) de los Estados Unidos, ha publicado un informe avisando de lo que llama «ataques activos» contra infraestructuras de ordenadores basadas en Linux que estén usando claves SSH comprometidas.

Parece que el ataque usa claves SSH robadas para obtener acceso a un sistema, y leugo utiliza exploits del kernel local para obtener acceso como root. Una vez se obtiene el acceso como root, se instala un rootkit conocido como “phalanx2″.
Phalanx2 parece ser un derivado de un rootkit mas veterano llamado “phalanx”. Phalanx2 y los scripts incluidos en el rootkit están configurados para robar claves SSH del sistema comprometido. Estas claves SSH se envían a los atacantes, quien a su vez las usan para comprometer otros sitios y sistemas de interés en el sistema atacado.

 300_phalanx.jpg

Vía | ZDnet

Ir arriba