Di hari-hari yang lalu mereka berlari melalui jaring laporan serangan Mereka mengeksploitasi kerentanan dalam PHP, yang memungkinkan beberapa situs resmi menayangkan halaman web dan iklan palsu, sehingga pengunjung dapat memasang malware di komputer mereka. Serangan ini memanfaatkan a kerentanan PHP yang sangat kritis terbuka secara publik 22 bulan yang lalu dan pembaruan terkait telah dirilis.
Beberapa telah mulai dengan tegas menunjukkan bahwa sebagian besar server yang dikompromikan dalam serangan ini menjalankan versi GNU / Linux, berpura-pura mempertanyakan keamanan Sistem Operasi ini, tetapi tanpa menjelaskan secara rinci tentang sifat kerentanan atau alasan mengapa yang telah terjadi ini.
Sistem dengan GNU / Linux yang terinfeksi, dalam semua kasus, mereka menjalankan Kernel Linux versi 2.6, dirilis pada 2007 atau sebelumnya. Dalam kasus apa pun tidak disebutkan infeksi sistem yang menjalankan kernel superior atau yang telah diperbarui sebagaimana mestinya; Namun tentunya masih ada pengurus yang beranggapan "... kalau tidak rusak tidak perlu diperbaiki" dan kemudian hal-hal tersebut terjadi.
Selain itu, sebuah studi baru-baru ini oleh perusahaan keamanan ESET, memperlihatkan panggilan secara detail "Operasi Windigo", di mana melalui beberapa kit serangan, termasuk satu yang disebut terkelupas dirancang khusus untuk Apache dan server web open source populer lainnya, serta yang disebut lainnya SSH, telah lebih dari 26,000 sistem GNU / Linux dikompromikan sejak Mei tahun lalu, apakah ini berarti GNU / Linux tidak lagi aman?
Pertama-tama, meletakkan segala sesuatunya dalam konteks, jika kita membandingkan angka sebelumnya dengan hampir 2 juta komputer Windows yang dikompromikan oleh bootnet NolAkses Sebelum ditutup pada Desember 2013, mudah disimpulkan bahwa, dari segi keamanan, Sistem GNU / Linux masih lebih aman daripada yang menggunakan Sistem Operasi Microsoft, tetapi apakah kesalahan GNU / Linux bahwa 26,000 sistem dengan OS tersebut telah dikompromikan?
Seperti dalam kasus kerentanan PHP kritis yang dibahas di atas, yang memengaruhi sistem tanpa pembaruan kernel, serangan lain ini melibatkan sistem di mana nama pengguna dan / atau kata sandi default tidak diubah dan yang mempertahankan port 23 dan 80 terbuka secara tidak perlu; Jadi apakah ini benar-benar kesalahan GNU / Linux?
Tentunya, jawabannya adalah TIDAK, masalahnya bukan OS yang digunakan tetapi ketidaktanggungjawaban dan kelalaian para administrator dari sistem-sistem tersebut yang kurang memahami secara maksimal yang dinyatakan oleh pakar keamanan. Bruce Schneier yang harus dibakar ke dalam otak kita: Keamanan ADALAH proses BUKAN produk.
Tidak ada gunanya jika kita menginstal sistem yang terbukti aman jika kemudian kita membiarkannya ditinggalkan dan tidak menginstal pembaruan yang sesuai segera setelah dirilis. Demikian pula, tidak ada gunanya memperbarui sistem kami jika kredensial otentikasi yang muncul secara default selama penginstalan terus digunakan. Dalam kedua kasus, itu benar prosedur keamanan dasar, yang bukan karena pengulangan, diterapkan dengan benar.
Jika Anda memiliki sistem GNU / Linux dengan Apache atau server web open source lain dan Anda ingin memeriksa apakah telah disusupi, prosedurnya sederhana. Dalam kasus mengubur, Anda harus membuka terminal dan mengetik perintah berikut:
ssh -G
Jika jawabannya berbeda dengan:
ssh: illegal option – G
dan kemudian daftar opsi yang benar untuk perintah itu, maka sistem Anda disusupi.
Untuk kasus terkelupas, prosedurnya sedikit lebih rumit. Anda harus membuka terminal dan menulis:
curl -i http://myserver/favicon.iso | grep "Location:"
Jika sistem Anda disusupi, maka terkelupas akan mengarahkan permintaan dan memberi Anda keluaran berikut:
Location: http://google.com
Jika tidak, itu tidak akan mengembalikan apapun atau lokasi yang berbeda.
Bentuk desinfeksi mungkin tampak kasar, tetapi hanya satu-satunya yang terbukti efektif: penghapusan sistem penuh, penginstalan ulang dari awal dan setel ulang semua kredensial pengguna dan administrator dari terminal tanpa ikatan. Jika terasa sulit bagi Anda, pikirkan bahwa, jika Anda segera mengubah kredensial, Anda tidak akan membahayakan sistem.
Untuk analisis yang jauh lebih rinci tentang cara infeksi ini beroperasi, serta cara spesifik yang digunakan untuk menyebarkannya dan tindakan yang harus diambil, kami sarankan untuk mengunduh dan membaca analisis lengkap dari "Operasi Windigo" tersedia di tautan berikut:
Akhirnya, a kesimpulan mendasar: Tidak ada jaminan sistem operasi terhadap administrator yang tidak bertanggung jawab atau ceroboh; Mengenai keselamatan, selalu ada yang harus dilakukan, karena kesalahan pertama dan paling serius adalah mengira kita sudah mencapainya, atau menurut Anda tidak?
Semuanya benar, orang "terjadi", dan kemudian apa yang terjadi terjadi. Saya melihatnya setiap hari dengan masalah pembaruan, terlepas dari sistem (Linux, Windows, Mac, Android ...) bahwa orang tidak membuat pembaruan, mereka malas, mereka tidak punya waktu, saya tidak bermain untuk berjaga-jaga ...
Dan tidak hanya itu, tetapi mereka beralih dari mengubah kredensial default atau terus menggunakan sandi seperti "1234" dan sejenisnya, lalu mengeluh; dan ya, Anda benar, apa pun OS yang mereka gunakan, kesalahannya tetap sama.
Terima kasih banyak sudah mampir dan berkomentar ...
Luar biasa! sangat benar dalam segala hal!
Terima kasih atas tanggapan Anda dan telah mampir ...
Perintah yang lebih lengkap yang saya temukan di jaringan pengguna @Matt:
ssh -G 2> & 1 | grep -e ilegal -e tidak diketahui> / dev / null && echo "Sistem bersih" || echo "Sistem terinfeksi"
Waoh! ... Jauh lebih baik, perintah sudah memberi tahu Anda secara langsung.
Terima kasih atas kontribusinya dan sudah mampir.
Saya setuju sepenuhnya dengan Anda, keamanan adalah peningkatan yang berkelanjutan!
Artikel yang bagus!
Terima kasih banyak atas komentarnya dan sudah mampir ...
Benar sekali, ini adalah pekerjaan semut di mana Anda harus selalu memeriksa dan menjaga keamanan.
Artikel bagus, tadi malam pasangan saya memberi tahu saya tentang operasi Windigo yang dia baca di berita: "bukan Linux kebal terhadap infeksi", dan dia mengatakan bahwa itu tergantung pada banyak hal, tidak hanya jika Linux atau tidak yakin .
Saya akan merekomendasikan agar Anda membaca artikel ini, bahkan jika Anda tidak memahami apa pun tentang teknis XD
Sayangnya kesan itulah yang ditinggalkan oleh jenis berita tersebut, yang menurut saya sengaja disalahartikan, untungnya partner Anda setidaknya memberikan komentar kepada Anda, tapi sekarang siapkan putaran pertanyaan setelah artikel tersebut dibaca.
Terima kasih banyak atas komentarnya dan sudah mampir ...
Artikel yang sangat bagus, Charlie. Terima kasih telah meluangkan waktu Anda.
Terima kasih telah mampir dan atas tanggapan Anda ...
artikel yang sangat bagus!
peluk, pablo.
Terima kasih banyak Pablo, pelukan ...
Berterima kasih atas informasi yang Anda terbitkan, dan sesuai dengan kriteria yang dijelaskan, dengan referensi yang sangat bagus untuk artikel Schneier "Keselamatan ADALAH proses BUKAN produk".
Salam dari Venezuela. 😀
Terima kasih telah berkomentar dan mampir.
Baik!
Pertama-tama, kontribusi luar biasa !! Saya telah membacanya dan ini sangat menarik, saya sepenuhnya setuju dengan pendapat Anda bahwa keamanan adalah sebuah proses, bukan produk, itu tergantung pada administrator Sistem, bahwa ada baiknya memiliki sistem yang super aman jika Anda kemudian membiarkannya di sana tanpa memperbaruinya dan bahkan tanpa mengubah kredensial default?
Saya menggunakan kesempatan ini untuk mengajukan pertanyaan jika Anda tidak keberatan, saya harap Anda tidak keberatan menjawabnya.
Begini, saya sangat senang dengan topik keamanan ini dan saya ingin belajar lebih banyak tentang keamanan di GNU / Linux, SSH dan apa itu GNU / Linux secara umum, ayolah, jika tidak mengganggu, bisakah Anda merekomendasikan saya sesuatu memulai dengan? PDF, "indeks", apa pun yang dapat memandu seorang pemula akan sangat membantu.
Salam dan terima kasih banyak sebelumnya!
Operasi Windigo ... Sampai saat ini saya menyadari situasi ini, kita semua tahu bahwa keamanan di GNU / Linux lebih dari semua tanggung jawab administrator. Nah, saya masih tidak mengerti bagaimana sistem saya dikompromikan, yaitu, "Sistem Terinfeksi" jika saya belum menginstal apa pun di sistem yang tidak langsung dari dukungan, dan sebenarnya jika sudah seminggu saya menginstal Linux Mint, dan hanya saya yang telah menginstal alat mode lm-sensor, Gparted dan laptop, jadi tampaknya aneh bagi saya bahwa sistem telah terinfeksi, sekarang saya harus menghapusnya sepenuhnya dan menginstal ulang. Sekarang saya punya pertanyaan besar tentang bagaimana melindungi sistem sejak terinfeksi dan saya bahkan tidak tahu bagaimana haha… Terima kasih
terima kasih untuk info.
Selalu penting untuk memiliki mekanisme keamanan seperti yang diuraikan dalam artikel dan lebih banyak lagi dalam hal merawat keluarga, tetapi jika Anda ingin melihat semua opsi yang ditawarkan oleh pasar dalam hal ini, saya mengundang Anda untuk mengunjungi http://www.portaldeseguridad.es/