On 03/19/2014 12:01 PM, C. L. Martinez wrote: > 2014-03-19 18:26 GMT+00:00 Camaleón <noelamac@gmail.com>: >> El Wed, 19 Mar 2014 17:43:15 +0000, C. L. Martinez escribió: >> >>> 2014-03-19 16:15 GMT+00:00 Camaleón <noelamac@gmail.com>: >> >> (...) >> >>>>>> He descargado el PDF con las 69 páginas, muy mono con muchos >>>>>> grafiquitos y tal pero no he logrado descifrar cómo se logra infectar >>>>>> un servidor. >>>>>> >>>>>> >>>>> Pues te lo indican clarito: por robo de claves de autenticación ... >>>> >>>> Para robar las claves (¿qué claves, la de root??) tienen que acceder, >>>> ¿cómo lo hacen? >>>> >>>> >>> En dicho informe hablan de un robo de claves SSH, nada descabellado por >>> otra parte (con un poco de Google hacking y utilizando el buscador >>> shodan, aparecen bastantes barbaridades). >> >> Vale, así que: >> >> 1/ Las claves las obtienen por otro medio (¿indican cuál?). > > No lo indican pero podemos hacer suposiciones: man in the middle, keys > accesibles via servicios standard como http (si, si. Eso lo he vivido > yo en mis propias carnes,), etc, etc ... >> >> 2/ Quienes no tenemos habilitado el servicio SSH remoto podemos seguir >> roncando. > > Me inclino a pensar que por la magnitud de los servidores > comprometido, no solo se trata de claves SSh. Es muy probable que > hayan obtenido claves de otros servicios ... > > >> >> No es lo mismo un robo de claves que afecta a un servicio concreto que >> una vulnerabilidad de algún demonio o un exploit nuevo del kernel o vaya >> usted a saber, eso sí sería preocupante. >> >>> Por otro lado también indican que no se trata de la explotación de >>> alguna vulnerabilidad en los servidores (algo que tiene también mucho >>> sentido teniendo en cuenta del volumen del que se está hablando, 25.000 >>> servidores mínimo. Eseo es sencillamente, "demasiada vulnerabilidad"). >> >> Zzzz... yo sigo roncando :-) >> >>> Ergo, se trata de administradores chapuzas de toda la vida ... Esos que >>> "infectan" la profesión (lo siento, no puedo evitarlo). >> >> Pues voy a hacer un seguimiento de la noticia porque la verdad es que no >> recuerdo haber recibido ninguna alerta sobre esto. > > Pues deberías haberla recibido, porque la cosa está que arde :)) ... > > Fuera bromas, en los medios especializados habituales ya han hablado > de ello ... A nivel de listas de correo, solo he visto comentarios en > las listas de centos, de momento, pero parece que algo aparece por las > de BSD .. > > SAludos. > > Disculpa CL, yo tambien lei el doc y no puedo imaginarme como podria ocurrir!
Attachment:
signature.asc
Description: OpenPGP digital signature