L'organisme de sécurité américain US-CERT (United States Computer Emergency Readiness Team) a publié une alerte de sécurité concernant des attaques de systèmes Linux sur la base de clés SSH compromsies. L'attaque part de clés SSH volées pour accéder à un système, continue en exploitant des vulnérabilités dans le noyau pour obtenir un accès root, et une fois cet accès root obtenu, installe un rootkit du nom de phalanx2.

Phalanx2 semble être un dérivé d'un vieux rootkit du nom de phalanx. Phalans2 et son jeu de scripts sont configuré pour voler systématiquement des clés SSH à partir d'un système compromis. Les clés sont alors envoyés aux attaquants qui les utiliseront pour tenter de compromettre ainsi en cascade d'autre systèmes.

Si vous avez un doute quand à votre système Linux voici comment y détecter la présence de Phalanx2:

- Le rootkit s'installe sous /etc/khubd.p2. La commande ls ne montre pas ce répertoire mais il est possible d'entrer dedans avec la commande cd /etc/khubd.p2

- /dev/shm peut contenir des fichier suspects en rapport avec l'activité de l'attaque.

Pour en savoir plus : L'alerte de sécurité US-CERT