Ho trovato una vulnerabilità di sicurezza nella distribuzione linux corrente. Cosa succederà?

2

Ho installato il server ubuntu 12.04 su VM due settimane fa. Ho creato delle istantanee regolari. XXX tempo fa ho notato attività insolite e ho scoperto che una backdoor è stata installata sul mio server. Uno dei file backdoor era sshd. Ho quindi analizzato i log e trovato l'host che si è connesso al mio server in primo luogo (usando la mia password dell'account). Lo stesso metodo che ho estratto da sshd backdoor ha funzionato per accedere all'account root dell'host attaccante. Ho trovato una quantità significativa di host infetti (analizzando i log dell'host di attacco). E ho confrontato il software in esecuzione. Credo di aver isolato il demone che è vulnerabile.

In situazioni normali avrei semplicemente formattato la VM e ne avrei creata una nuova (lo stavo usando solo per lo sviluppo) ma aveva l'ultima versione stabile di Ubuntu 12.04 linux. (14.04 è stato rilasciato pochi giorni dopo aver creato la VM) Tuttavia questa sembra una vulnerabilità serios dal numero di host infetti (e alcuni altri dati sensibili) e dal fatto che il mio server stava eseguendo la versione più recente con tutti gli aggiornamenti di sicurezza e è ancora stato violato.

E per arrivare alla domanda - Cosa dovrei fare dopo?

(Ho tutte le istantanee (prima dell'infezione, dopo), l'accesso a molte macchine infette e una parte di VM infetta del server di una specie di botnet che scansiona e infetta altri host, e qualche conoscenza di quali altre attività lo fa)

PS: non è infelice in quanto la versione openssl del mio server è: OpenSSL 1.0.1 14 marzo 2012 costruito il: lunedì 7 aprile alle 20:33:29 UTC

E il servizio che ritengo vulnerabile non ha vulnerabilità note.

PPS: come posso verificare se questo è noto exploit?

    
posta Emski 01.05.2014 - 14:19
fonte

2 risposte

3

To report a security vulnerability in an Ubuntu package, please file a bug, or contact [email protected].

link

    
risposta data 01.05.2014 - 14:27
fonte
0

C'è Linux, c'è Ubuntu, e poi c'è lo sviluppatore del demone interessato. Li informerei tutti. Puoi seguire la rotta Full Disclosure ma ora ti chiederò che cosa verrà richiesto quando segnalerai questo. Hai dichiarato: "Ho avuto gli ultimi aggiornamenti di sicurezza" per cosa? Ubuntu, Linux, il demone che è stato violato? Ognuna è un'entità separata e solo perché hai aggiornato Ubuntu non significa necessariamente che Ubuntu abbia creato una patch / correzione per l'applicazione vulnerabile. A prima vista sembra che tu abbia Fokirtor che usa solo ssh come un trampolino di lancio. Questo significa che probabilmente hai un problema DIFFERENTE e lo stai attribuendo a SSH. Senza guardare i registri è difficile per me dire che è un gioco di ipotesi.

Ora, dichiari anche: "hai accesso a molte macchine infette". Sarei rimasto un milione di miglia lontano dall'accedere a nessuna delle macchine percepite. Con così tanti utenti, ricercatori, ecc., Usando Linux, BSD, ecc., Sono sicuro che altri hanno visto quello che stai vedendo, forse la tua analisi è diversa. In entrambi i casi, contatterei Ubuntu e lo sviluppatore di qualunque demone che credi / percepisca sia il problema.

    
risposta data 01.05.2014 - 14:37
fonte

Leggi altre domande sui tag