有人正试图通过绕过ssh密钥来攻击安装有linux的电脑。ssh是一种通过生成公钥来提供安全访问的网络协议。这种攻击会通过本地内核溢出来取得root权限,这都是依靠phalanx这种rootkit的第二代程序 -- phalanx2来实施的。phalanx可以自行注入到2.6版分支的linux(未禁止/dev/kmem设备),包括进行文件、内存、套接字的隐藏,tty记录、后门,以及注入启动程序。一旦遭到入侵,ssh的密钥就会发动到入侵者手中,以待日后攻击所用。
sans internet storm center的john bambenek曾发现过基于debian系统的ssh密钥漏洞。目前他给出了同us-cert一样的建议,使用带密码的密钥,并且查阅服务器日志来鉴别未知的远程链入。已感染phalanx2的机器可以通过“cd”命令来直接进入“khubd.p2”目录,并进行删除,因为用“ls”是什么也看不到的。
