US-CERT(美国计算机紧急反应小组)本周二警告说:有人正试图通过绕过 SSH 密钥来攻击安装有Linux的电脑。SSH是一种通过生成公 钥来提供安全访问的网络协议。这种攻击会通过本地内核溢出来取得 ROOT权限,这都是依靠 phalanx这种 rootkit的第二代程序 -- phalanx2来实施的。 phalanx可以自行注入到 2.6版分支的 Linux(未禁止 /dev/ kmem 设备),包括进行文件、内存、套接字的隐藏, TTY记录、后门,以及注入启动程序。一旦遭到入侵, SSH的密钥就会发动到入侵者手中,以待日后攻击所用。
SANS Internet Storm Center的John Bambenek曾发现过基于 Debian 系统的SSH密钥漏洞。目前他给出了同 US-CERT一样的建议,使用带密码的密钥,并且查阅服务器日志来鉴别未知的远程链入。已感染 phalanx2的机器可以通过“ cd”命令来直接进入“ khubd.p 2 ” 目录,并进行删除,因为用“ ls ”是什么也看不到的。