Trong những ngày trôi qua, họ đã chạy qua mạng báo cáo về các cuộc tấn công Họ khai thác một lỗ hổng trong PHP, cho phép một số trang web hợp pháp phục vụ các trang web và quảng cáo gian lận, khiến khách truy cập thấy cài đặt phần mềm độc hại trên máy tính của họ. Những cuộc tấn công này tận dụng lợi thế của một lỗ hổng PHP cực kỳ nghiêm trọng được công khai cách đây 22 tháng và các bản cập nhật tương ứng đã được phát hành.
Một số người đã bắt đầu khăng khăng chỉ ra rằng một phần tốt của các máy chủ bị xâm nhập trong các cuộc tấn công này đang chạy phiên bản GNU / Linux, giả vờ đặt câu hỏi về tính bảo mật của Hệ điều hành này, nhưng không đi sâu vào chi tiết về bản chất của lỗ hổng hoặc lý do tại sao điều này đã xảy ra.
Hệ thống bị nhiễm GNU / Linux, trong mọi trường hợp, họ đang chạy Phiên bản hạt nhân Linux 2.6, phát hành vào năm 2007 hoặc sớm hơn. Không có trường hợp nào nó được đề cập đến việc lây nhiễm các hệ thống chạy hạt nhân cao cấp hoặc đã được cập nhật hợp lệ; Nhưng tất nhiên, vẫn có những quản trị viên nghĩ rằng "... nếu nó không bị hỏng, nó không cần sửa chữa" và sau đó những điều này xảy ra.
Hơn nữa, một nghiên cứu gần đây của công ty bảo mật ESET, chi tiết cuộc gọi "Chiến dịch Windigo", trong đó thông qua một số bộ công cụ tấn công, bao gồm một bộ được gọi là dorked được thiết kế đặc biệt cho Apache và các máy chủ web nguồn mở phổ biến khác, cũng như một máy chủ khác được gọi là SSH, đã được hơn 26,000 hệ thống GNU / Linux bị xâm phạm kể từ tháng XNUMX năm ngoái, điều này có nghĩa là GNU / Linux không còn an toàn nữa?
Trước hết, hãy đặt mọi thứ trong bối cảnh, nếu chúng ta so sánh các con số trước đó với gần 2 triệu máy tính Windows bị xâm nhập bởi bootnet không truy cập Trước khi bị đóng cửa vào tháng 2013 năm XNUMX, có thể dễ dàng kết luận rằng, về mặt bảo mật, Hệ thống GNU / Linux vẫn an toàn hơn so với những hệ điều hành sử dụng Hệ điều hành Microsoft, nhưng có phải lỗi của GNU / Linux khi 26,000 hệ thống với Hệ điều hành đó đã bị xâm phạm không?
Như trong trường hợp lỗ hổng PHP nghiêm trọng được thảo luận ở trên, ảnh hưởng đến các hệ thống không có bản cập nhật hạt nhân, các cuộc tấn công khác này liên quan đến các hệ thống trong đó tên người dùng và / hoặc mật khẩu mặc định không được thay đổi và giữ nguyên cổng 23 và 80 mở không cần thiết; Vậy nó có thực sự là lỗi của GNU / Linux không?
Rõ ràng, câu trả lời là KHÔNG, vấn đề không nằm ở hệ điều hành được sử dụng mà là sự vô trách nhiệm và lơ là của quản trị viên của những hệ thống không hiểu rõ tối đa mà chuyên gia bảo mật đã nêu. Bruce Schneier điều đó nên được đốt cháy trong não của chúng ta: An toàn LÀ một quá trình KHÔNG PHẢI là một sản phẩm.
Sẽ là vô ích nếu chúng tôi cài đặt một hệ thống đã được chứng minh là an toàn nếu sau đó chúng tôi bỏ mặc nó và không cài đặt các bản cập nhật tương ứng ngay khi chúng được phát hành. Tương tự, việc cập nhật hệ thống của chúng tôi là vô ích nếu thông tin xác thực xuất hiện theo mặc định trong quá trình cài đặt tiếp tục được sử dụng. Trong cả hai trường hợp, nó là thủ tục an ninh cơ bản, điều đó không lặp lại, được áp dụng đúng cách.
Nếu bạn đang quan tâm đến hệ thống GNU / Linux với Apache hoặc một máy chủ web mã nguồn mở khác và bạn muốn kiểm tra xem nó có bị xâm phạm hay không, quy trình rất đơn giản. Trong trường hợp chôn, bạn phải mở một thiết bị đầu cuối và nhập lệnh sau:
ssh -G
Nếu câu trả lời khác với:
ssh: illegal option – G
và sau đó là danh sách các tùy chọn chính xác cho lệnh đó, khi đó hệ thống của bạn đã bị xâm phạm.
Trong trường hợp dorked, thủ tục phức tạp hơn một chút. Bạn phải mở một thiết bị đầu cuối và viết:
curl -i http://myserver/favicon.iso | grep "Location:"
Nếu hệ thống của bạn bị xâm phạm, thì dorked nó sẽ chuyển hướng yêu cầu và cung cấp cho bạn kết quả sau:
Location: http://google.com
Nếu không, nó sẽ không trả về bất cứ thứ gì hoặc một vị trí khác.
Hình thức khử trùng có vẻ thô sơ, nhưng nó là hình thức duy nhất được chứng minh là hiệu quả: xóa toàn bộ hệ thống, cài đặt lại từ đầu và đặt lại tất cả thông tin đăng nhập người dùng và quản trị viên từ một thiết bị đầu cuối không được cam kết. Nếu bạn cảm thấy khó khăn, hãy cân nhắc rằng, nếu bạn đã thay đổi thông tin đăng nhập kịp thời, bạn sẽ không làm tổn hại hệ thống.
Để có phân tích chi tiết hơn về cách thức hoạt động của các bệnh lây nhiễm này, cũng như các cách cụ thể được sử dụng để lây lan chúng và các biện pháp tương ứng sẽ được thực hiện, chúng tôi khuyên bạn nên tải xuống và đọc bản phân tích đầy đủ của "Chiến dịch Windigo" có sẵn tại liên kết sau:
Cuối cùng, một kết luận cơ bản: Không có hệ điều hành nào được đảm bảo chống lại các quản trị viên vô trách nhiệm hoặc bất cẩn; Đối với vấn đề bảo mật, luôn luôn có một cái gì đó để làm, bởi vì sai lầm đầu tiên và nghiêm trọng nhất là nghĩ rằng chúng tôi đã đạt được nó, hoặc bạn không nghĩ như vậy?
Tất cả đều đúng, mọi người "xảy ra", và sau đó điều gì sẽ xảy ra. Tôi thấy nó hàng ngày với vấn đề cập nhật, bất kể hệ thống (Linux, Windows, Mac, Android ...) mà mọi người không cập nhật, họ lười biếng, họ không có thời gian, tôi không chơi đề phòng. ...
Và không chỉ vậy, họ ngừng thay đổi thông tin đăng nhập mặc định hoặc tiếp tục sử dụng mật khẩu như "1234" và những thứ tương tự và sau đó khiếu nại; và vâng, bạn nói đúng, cho dù họ sử dụng hệ điều hành nào thì các lỗi đều giống nhau.
Cảm ơn bạn rất nhiều vì đã ghé qua và bình luận ...
Thông minh! rất đúng trong mọi thứ!
Cảm ơn bạn đã bình luận và đã ghé qua ...
Một lệnh hoàn chỉnh hơn mà tôi đã tìm thấy trong mạng của người dùng @Matt:
ssh -G 2> & 1 | grep -e bất hợp pháp -e không xác định> / dev / null && echo "Hệ thống sạch" || echo "Hệ thống bị nhiễm"
Waoh! ... Tốt hơn nhiều, lệnh đã cho bạn biết trực tiếp.
Cảm ơn vì đã đóng góp và đã ghé qua.
Tôi hoàn toàn đồng ý với bạn, bảo mật là một cải tiến liên tục!
Bài báo xuất sắc!
Cảm ơn bạn rất nhiều vì nhận xét và đã ghé qua ...
Rất đúng, đó là một công việc kiến mà bạn luôn phải kiểm tra và chăm sóc an ninh.
Một bài báo hay, chỉ tối hôm qua đối tác của tôi đã nói với tôi về hoạt động của Windigo mà anh ấy đọc được trên bản tin: "không phải Linux không thể xâm nhập được với các nhiễm trùng", và nói rằng nó phụ thuộc vào nhiều thứ, không chỉ nếu Linux là hoặc không chắc chắn.
Tôi sẽ khuyên bạn nên đọc bài viết này, ngay cả khi bạn không hiểu gì về kỹ thuật XD
Thật không may, đó là ấn tượng để lại bởi loại tin tức mà theo tôi là cố tình xuyên tạc, may mắn là đối tác của bạn ít nhất đã nhận xét cho bạn, nhưng bây giờ chuẩn bị cho một vòng câu hỏi sau khi bài báo được đọc.
Cảm ơn bạn rất nhiều vì nhận xét và đã ghé qua ...
Bài báo rất hay, Charlie. Cảm ơn vì đã dành thời gian của bạn.
Cảm ơn bạn đã ghé qua và cho nhận xét của bạn ...
bài viết rất hay!
ôm, pablo.
Cảm ơn Pablo rất nhiều, một cái ôm ...
Biết ơn về thông tin bạn xuất bản và hoàn toàn đồng ý với các tiêu chí được giải thích, nhân tiện tham khảo rất tốt bài báo của Schneier "An toàn LÀ một quy trình KHÔNG PHẢI là một sản phẩm".
Lời chào từ Venezuela. 😀
Cảm ơn bạn đã bình luận và ghé qua.
Tốt!
Trước hết, đóng góp xuất sắc !! Tôi đã đọc nó và thực sự rất thú vị, tôi hoàn toàn đồng ý với ý kiến của bạn rằng bảo mật là một quá trình, không phải một sản phẩm, nó phụ thuộc vào người quản trị Hệ thống, rằng đáng có một hệ thống siêu an toàn nếu bạn để nó ở đó mà không. cập nhật nó và thậm chí không thay đổi thông tin đăng nhập mặc định?
Tôi nhân cơ hội này để hỏi bạn một câu nếu bạn không phiền, tôi hy vọng bạn không phiền trả lời.
Nghe này, tôi thực sự rất hào hứng với chủ đề bảo mật này và tôi muốn tìm hiểu thêm về bảo mật trong GNU / Linux, SSH và GNU / Linux nói chung là gì, thôi nào, nếu nó không phải là phiền phức, bạn có thể giới thiệu cho tôi vài điều để bắt đầu với? Một tệp PDF, một "chỉ mục", bất kỳ thứ gì có thể hướng dẫn một người mới sẽ có ích.
Xin chào và cảm ơn bạn rất nhiều trước!
Hoạt động Windigo ... Cho đến gần đây tôi mới nhận ra tình trạng này, chúng ta đều biết rằng bảo mật trong GNU / Linux hơn tất cả là trách nhiệm của quản trị viên. Chà, tôi vẫn không hiểu hệ thống của mình đã bị xâm nhập như thế nào, tức là "Hệ thống bị nhiễm trùng" nếu tôi chưa cài đặt bất kỳ thứ gì trên hệ thống không phải trực tiếp từ bộ phận hỗ trợ và thực sự nếu đã được một tuần tôi đã cài đặt Linux Mint, và chỉ có tôi đã cài đặt lm-sensor, Gparted và các công cụ chế độ máy tính xách tay, nên tôi thấy hệ thống đã bị nhiễm virus có vẻ lạ, bây giờ tôi phải gỡ bỏ hoàn toàn và cài đặt lại. Bây giờ tôi có một câu hỏi lớn về cách bảo vệ hệ thống vì nó đã bị nhiễm và tôi thậm chí không biết làm thế nào haha… Cảm ơn
Cảm ơn bạn về thông tin.
Điều quan trọng là luôn có các cơ chế bảo mật như cơ chế được nêu trong bài viết và nhiều hơn nữa khi nói đến việc chăm sóc gia đình, nhưng nếu bạn muốn xem tất cả các tùy chọn được cung cấp bởi thị trường về vấn đề này, tôi mời bạn truy cập http://www.portaldeseguridad.es/