I gamle dager løp de gjennom nettet rapporter om angrep De utnytter et sårbarhet i PHP, som gjør det mulig for noen legitime nettsteder å tjene falske websider og annonser, og utsette besøkende for installasjon av skadelig programvare på datamaskiner. Disse angrepene utnytter a ekstremt kritisk PHP-sårbarhet offentlig eksponert for 22 måneder siden, og for hvilke tilsvarende oppdateringer er gitt ut.
Noen har begynt å insistere på at en god del av serverne som er kompromittert i disse angrepene, kjører versjoner av GNU / Linux, som later til å stille spørsmål ved sikkerheten til dette operativsystemet, men uten å gå i detaljer om arten av sårbarheten eller årsakene til at som har skjedd dette.
Systemer med infisert GNU / Linux, i alle tilfeller kjører de Linux-kjerneversjon 2.6, utgitt i 2007 eller tidligere. I intet tilfelle er det nevnt infeksjonen av systemer som kjører overlegne kjerner eller som er blitt behørig oppdatert; Men selvfølgelig er det fremdeles administratorer som tenker "... hvis den ikke er ødelagt, trenger den ikke å fikses" og så skjer disse tingene.
Videre en nylig studie av sikkerhetsfirmaet ESET, avslører samtalen i detalj "Operasjon Windigo", der gjennom forskjellige angrepssett, inkludert en kalt drikk spesielt designet for Apache og andre populære open source-webservere, samt en annen kalt SSH, har vært mer enn 26,000 XNUMX GNU / Linux-systemer kompromittert siden mai i fjor, betyr dette at GNU / Linux ikke lenger er sikkert?
Først og fremst å sette ting i sammenheng, hvis vi sammenligner de forrige tallene med de nesten 2 millioner Windows-datamaskinene som kompromitteres av bootnet Nulltilgang Før det ble stengt i desember 2013, er det lett å konkludere med at når det gjelder sikkerhet, GNU / Linux-systemer er fortsatt sikrere enn de som bruker Microsoft-operativsystemet, men er det GNU / Linux sin feil at 26,000 systemer med det operativsystemet har blitt kompromittert?
Som i tilfelle kritisk PHP-sårbarhet som er diskutert ovenfor, som påvirker systemer uten kjerneoppdateringer, involverer disse andre angrepene systemer der standard brukernavn og / eller passord ikke ble endret, og som beholdt port 23 og 80 er unødvendig åpne; Så er det virkelig GNU / Linux sin feil?
Åpenbart er svaret NEI, problemet er ikke operativsystemet som brukes, men uansvarlighet og uaktsomhet fra administratorene av de systemene som ikke helt forstår det maksimale oppgitt av sikkerhetseksperten Bruce Schneier som skal brennes i hjernen vår: Sikkerhet er en prosess som IKKE er et produkt.
Det er ubrukelig hvis vi installerer et bevist trygt system hvis vi lar det være forlatt og ikke installerer de tilsvarende oppdateringene så snart de er utgitt. På samme måte er det ubrukelig å holde systemet oppdatert hvis autentiseringslegitimasjonen som vises som standard under installasjonen fortsetter å bli brukt. I begge tilfeller er det det grunnleggende sikkerhetsprosedyrer, som ikke skyldes gjentakelse, brukes riktig.
Hvis du har et GNU / Linux-system med Apache eller en annen åpen kildekodeserver, og du vil sjekke om det er kompromittert, er prosedyren enkel. I tilfelle av begrave, må du åpne en terminal og skrive inn følgende kommando:
ssh -G
Hvis svaret er annerledes enn:
ssh: illegal option – G
og deretter listen over riktige alternativer for den kommandoen, så er systemet kompromittert.
I tilfelle av drikk, prosedyren er litt mer komplisert. Du må åpne en terminal og skrive:
curl -i http://myserver/favicon.iso | grep "Location:"
Hvis systemet ditt var kompromittert, da drikk det vil omdirigere forespørselen og gi deg følgende utdata:
Location: http://google.com
Ellers vil den ikke returnere noe eller et annet sted.
Desinfeksjonsformen kan virke rå, men den er den eneste som har vist seg å være effektiv: full systemtørking, reinstallasjon fra bunnen av og tilbakestill all legitimasjon bruker og administrator fra en uforpliktet terminal. Hvis du synes det er vanskelig, bør du vurdere at hvis du hadde endret legitimasjonen raskt, ville du ikke ha kompromittert systemet.
For en mye mer detaljert analyse av måtene disse infeksjonene fungerer på, så vel som de spesifikke måtene som brukes til å spre dem, og de tiltak som er nødvendige, må vi laste ned og lese hele analysen av "Operasjon Windigo" tilgjengelig på følgende lenke:
Til slutt, a grunnleggende konklusjon: Det er ikke noe operativsystem garantert mot uansvarlige eller uforsiktig administratorer; Når det gjelder sikkerhet, er det alltid noe å gjøre, fordi den første og mest alvorlige feilen er å tro at vi allerede har oppnådd det, eller tror du ikke det?
Det hele er sant, folk "skjer", og så skjer det som skjer. Jeg ser det daglig når det gjelder oppdateringer, uavhengig av system (Linux, Windows, Mac, Android ...) at folk ikke gjør oppdateringer, de er late, de har ikke tid, jeg spiller ikke bare i tilfelle ...
Og ikke bare det, men de går fra å endre standard legitimasjon eller fortsette å bruke passord som "1234" og lignende og klager; og ja, du har rett, uansett hvilket operativsystem de bruker, feilene er de samme.
Tusen takk for at du kom innom og kommenterte ...
Utmerket! veldig sant i alt!
Takk for kommentaren og for å komme innom ...
En mer komplett kommando som jeg fant i nettverket til en bruker @Matt:
ssh -G 2> & 1 | grep -e ulovlig -e ukjent> / dev / null && echo "System clean" || ekko "Systeminfisert"
Waoh! ... Mye bedre, kommandoen forteller deg allerede direkte.
Takk for bidraget og for innom.
Jeg er helt enig med deg, sikkerhet er en kontinuerlig forbedring!
Utmerket artikkel!
Tusen takk for kommentaren og for å komme innom ...
Veldig sant, det er en maurjobb der du alltid må sjekke og ta vare på sikkerheten.
God artikkel, bare i går kveld fortalte partneren min om Windigo-operasjonen som han leste i nyhetene: "ikke at Linux er usårbar for infeksjoner", og han sa at det var avhengig av mange ting, ikke bare hvis Linux er eller usikker. .
Jeg kommer til å anbefale at du leser denne artikkelen, selv om du ikke forstår noe om teknisk XD
Dessverre er det inntrykket som den typen nyheter etterlater, som etter min mening med vilje er feilaktig fremstilt, heldigvis kommenterte partneren din i det minste til deg, men forbered deg nå på en spørsmålsrunde etter at artikkelen er lest.
Tusen takk for kommentaren og for innom ...
Veldig bra artikkel, Charlie. Takk for at du tok deg god tid.
Takk for at du var innom og for kommentaren din ...
veldig god artikkel!
klem, pablo.
Tusen takk Pablo, en klem ...
Takknemlig for informasjonen du publiserer, og i full overensstemmelse med de forklarte kriteriene, for øvrig en veldig god referanse til Schneiers artikkel "Safety IS a process NOT a product".
Hilsen fra Venezuela. 😀
Takk til deg for at du kommenterte og kom innom.
Good!
Først og fremst utmerket bidrag !! Jeg har lest den, og det har vært veldig interessant, jeg er helt enig i din mening om at sikkerhet er en prosess, ikke et produkt, det avhenger av systemadministratoren, at det er verdt å ha et supersikkert system hvis du lar det være der uten å oppdatere og uten å endre standardinformasjonen?
Jeg benytter anledningen til å stille deg et spørsmål hvis du ikke har noe imot, jeg håper du ikke har noe imot å svare.
Se, jeg er veldig spent på dette sikkerhetsemnet, og jeg vil gjerne lære mer om sikkerhet i GNU / Linux, SSH og GNU / Linux generelt. Kom igjen, hvis det ikke er en plage, kan du anbefale meg? Noe til starte med? En PDF, en "indeks", alt som kan veilede en nybegynner, kan hjelpe.
Hilsen og tusen takk på forhånd!
Operasjon Windigo ... Inntil nylig skjønte jeg denne situasjonen, vi vet alle at sikkerhet i GNU / Linux er mer enn alt ansvaret til administratoren. Vel, jeg forstår fortsatt ikke hvordan systemet mitt ble kompromittert, det vil si "Systeminfisert" hvis jeg ikke har installert noe på systemet som ikke kommer direkte fra støtten, og faktisk hvis det har gått en uke jeg har installert Linux Mynte, og bare jeg har installert lm-sensorer, Gparted og bærbare modusverktøy, så det virker rart for meg at systemet har blitt infisert, nå må jeg fjerne det helt og installere det på nytt. Nå har jeg et stort spørsmål om hvordan jeg skal beskytte systemet siden det ble infisert, og jeg vet ikke engang hvordan haha ... Takk
takk for infoen.
Det er alltid viktig å ha sikkerhetsmekanismer som den som er skissert i artikkelen og mer når det gjelder omsorg for familien, men hvis du vil se alle alternativene som markedet tilbyr i denne forbindelse, inviterer jeg deg til å besøke http://www.portaldeseguridad.es/