Comprometidos numerosos equipos multiusuario bajo Linux y Solaris
Sálvese quién pueda. Pues últimamente hasta las universidades e instituciones de investigación están siendo atacadas a pesar de poseer sofisticados sistemas en Linux y Solaris. El ataque se ha realizado, según lo informa la misma universidad californiana, utilizando una variedad de mecanismos y "crackeando" las claves o consiguiéndolas a través de sniffing.

A continuación se ha ido realizando un escalado de privilegios aprovechando una serie de vulnerabilidades incluyendo "do_brk()" y "mremap()" en Linux y "sadmind", "arbitrary kernel loading modules" y "passwd" en Solaris.

En el alerta de la universidad se indica que "Dado la sofisticación de estos ataques, y la dificultad que representa remover los rootkits y los mecanismos ilícitos de acceso, nosotros recomendamos insistentemente que las máquinas comprometidas sean puestas off-line y completamente reconstruidas, incluyendo una instalación fresca del sistema operativo y las aplicaciones de parches".

También se comenta que no siempre es obvio que el equipo esté comprometido y que en muchos casos se lo ha descubierto porqué el usuario ha notado que su último login no es coincidente con el que ha sido realmente. En otros casos se ha notado una marcada degradación en el rendimiento del equipo y en otros el administrador de sistema ha descubierto que hay usuarios conectándose de lugares poco comunes.

Gran parte de las máquinas comprometidas (aunque no todas) tienen en común el no tener los parches actualizados por lo que es otra demostración de la importancia de parchear frecuentemente los sistemas. En otros casos se han "crackeado" las passwords mediante ataques de diccionario.

Fuente: VirusProt