Должны ли пользователи Ubuntu беспокоиться о «Операции Виндиго»?

Должны ли пользователи настольных компьютеров Ubuntu (и других дистрибутивов Linux) беспокоиться о диске с вредоносным ПО , описанном как «Операция Windigo» ?

Какую угрозу он представляет для нас немедленно и есть ли более долгосрочные последствия?

3
задан 21 March 2014 в 03:55

3 ответа

Heh. Это точно, почему я говорю, что PPA является плохой идеей. Однако статьи, на которые Вы указываете, говорят нам ни о каком вирусе. Обычные меры безопасности должны быть очень хорошо: имейте последние обновления из основных репозиториев, думайте, что Вы загружаете и выполняете, неважно, если корень или пользователь. Если Вы имеете малейшие опасения по поводу некоторого программного обеспечения, блокируете его с идентификатором специального пользователя или AppArmor.

0
ответ дан 21 March 2014 в 03:55

Проверив, что у меня есть чистая система, согласно предложенной проверке, как я могу предотвратить какое-либо будущее intrustions?

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
0
ответ дан 21 March 2014 в 03:55

Просто перечитайте вопрос. Если Вы находитесь на установке без SSH, или Ваш сервер SSH не доступен онлайн (например, это заблокировано маршрутизатором NAT, и др.), у Вас нет ничего для боязни этих новостей. Целое нападение требует SSH.

Кроме того, если Вы не выполняете веб-сервер (и следовательно Вы не находитесь на потрясающем интернет-соединении), это кажется маловероятным —, хотя, и значительно, не impossible—, что Windigo собирается побеспокоить Вас, даже если у Вас действительно есть представленный сервер SSH.

Но это вовсе не значит Вы избавлены от любого риска. Существует другое вредоносное программное обеспечение и будет еще больше со временем, и Ubuntu получает пользователей. Также глупо легко управлять людьми. У меня было немного напыщенной речи несколько лет назад: Linux не неуязвим. Не говорите, что это.

<час>

Так или иначе, если Вы все еще читаете, я собираюсь предположить, что Вы выполняете сервер SSH в Интернете.

сообщение ESET и рецензия PDF на "Операции Windigo" должен сказать Вам все Вы потребность, чтобы сказать, находитесь ли Вы в опасности или в настоящее время заражаетесь. У них есть пример кода, который может быть скопирован и выполнен для тестирования системы.

Все это, конечно, стоит чтения, но это не апокалипсис безопасности, который некоторые могли бы предложить. Основной маршрут, которым эти серверы стали зараженными, был человеческой идиотией:

Никакие уязвимости не были использованы на серверах Linux; только украденные учетные данные были усилены. Мы приходим к заключению, что аутентификация по паролю на серверах должна быть вещью прошлого

Так для всей шумихи, это - очень простой метод заражения. Они или взламывают пароли (атаки с подбором по словарю, скорее всего), или они крадут SSH, выключает клиентские компьютеры, резервные копии, и т.д. Я хотел бы думать, что это является первым.

нет ничего умного или нового об этом. Все выполняющие сервер SSH сталкиваются с теми рисками, и от них действительно легко защитить. Просто практика основной безопасность SSH и Вы будете в порядке: используйте защищенные паролем ключи и не пароли, работайте sshd на высоком порте, fail2ban, никакой пользователь root. Если Вы проигнорируете эти основы и выполните сервер SSH, где Вы позволяете корневые логины с паролем, Вы будете взломаны.

И просто потому что это не было основанным на использовании заражением, не означает, что следующий не будет. Оставание в курсе с пакетами выпуска безопасности жизненно важно. Сделайте его автоматическим. Удостоверяясь Ваш PHP (и др.) сценарии обновляются, жизненно важно, подпишитесь на каналы RSS своих авторов.

<час>

значение Windigo является изощренностью и мобильностью руткита, который установлен на серверах. Существует сетевая устойчивость через динамический DNS, не статический дюйм/с, несколько httpd конфигураций для увеличения показателей успешности, отсутствия зависимостей в этом целом стеке, который делает почти наверняка должным работать во всех сценариях (даже на ARM)... и, судя по всему, полезные нагрузки (спам и наборы заражения для клиентских компьютеров) являются очень эффективными. 1%-й успех эпопея , когда Вы говорите о 500K день.

"это происходит на Linux, таким образом, Linux является небезопасным" выводом I, видят в некоторых четвертях, не имеет смысла. Это могло произойти на любой платформе, и откровенно говоря, она уже делает. Что является особенным, вот то, что это было сплочено компетентными разработчиками. К счастью входная точка в значительной степени так же проста как грабитель, находящий запасной ключ под половой тряпкой.

<час>

Слишком длинное; не Сделал версии Read...

Это кажется , взломанные серверы были выполнены идиотами со слабой безопасностью, но не удовлетворенные. Проверьте, чтобы видеть, заражены ли Ваши серверы и проверка, чтобы видеть, что Вы не делаете те же глупые ошибки как люди, которые в настоящее время заражаются.

0
ответ дан 21 March 2014 в 03:55

Другие вопросы по тегам:

Похожие вопросы: