2014-03-19 18:26 GMT+00:00 Camaleón <noela...@gmail.com>: > El Wed, 19 Mar 2014 17:43:15 +0000, C. L. Martinez escribió: > >> 2014-03-19 16:15 GMT+00:00 Camaleón <noela...@gmail.com>: > > (...) > >>>>> He descargado el PDF con las 69 páginas, muy mono con muchos >>>>> grafiquitos y tal pero no he logrado descifrar cómo se logra infectar >>>>> un servidor. >>>>> >>>>> >>>> Pues te lo indican clarito: por robo de claves de autenticación ... >>> >>> Para robar las claves (¿qué claves, la de root??) tienen que acceder, >>> ¿cómo lo hacen? >>> >>> >> En dicho informe hablan de un robo de claves SSH, nada descabellado por >> otra parte (con un poco de Google hacking y utilizando el buscador >> shodan, aparecen bastantes barbaridades). > > Vale, así que: > > 1/ Las claves las obtienen por otro medio (¿indican cuál?).
No lo indican pero podemos hacer suposiciones: man in the middle, keys accesibles via servicios standard como http (si, si. Eso lo he vivido yo en mis propias carnes,), etc, etc ... > > 2/ Quienes no tenemos habilitado el servicio SSH remoto podemos seguir > roncando. Me inclino a pensar que por la magnitud de los servidores comprometido, no solo se trata de claves SSh. Es muy probable que hayan obtenido claves de otros servicios ... > > No es lo mismo un robo de claves que afecta a un servicio concreto que > una vulnerabilidad de algún demonio o un exploit nuevo del kernel o vaya > usted a saber, eso sí sería preocupante. > >> Por otro lado también indican que no se trata de la explotación de >> alguna vulnerabilidad en los servidores (algo que tiene también mucho >> sentido teniendo en cuenta del volumen del que se está hablando, 25.000 >> servidores mínimo. Eseo es sencillamente, "demasiada vulnerabilidad"). > > Zzzz... yo sigo roncando :-) > >> Ergo, se trata de administradores chapuzas de toda la vida ... Esos que >> "infectan" la profesión (lo siento, no puedo evitarlo). > > Pues voy a hacer un seguimiento de la noticia porque la verdad es que no > recuerdo haber recibido ninguna alerta sobre esto. Pues deberías haberla recibido, porque la cosa está que arde :)) ... Fuera bromas, en los medios especializados habituales ya han hablado de ello ... A nivel de listas de correo, solo he visto comentarios en las listas de centos, de momento, pero parece que algo aparece por las de BSD .. SAludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caejqa5l2oefabx+jsx5kcw5jxbztiy3mcvckmymwph4gnwv...@mail.gmail.com
