駭客用偷來的SSH金鑰攻擊Linux系統

美國電腦安全緊急應變中心（US-CERT）在本周表示，發現駭客透過偷來的SSH（Secure Shell）金鑰針對Linux運算架構進行攻擊。

SSH為一遠端通訊及網路服務專用的通訊協定，由於可加密所有傳輸的數據，並透過公鑰密碼存取，因此被視為較可靠的協定，亦為免費的開放源碼。此外，許多使用SSH金鑰登入的系統並不要求使用者再輸入密碼或密碼字串（passphrase），而可自動登入。

不過，US-CERT指出，最近發現的攻擊一開始都是使用偷來的SSH金鑰以存取系統，之後再利用區域核心攻擊程式取得可執行及存取所有檔案的root access系統權限，以便植入phalanx2程式。

phalanx2為一Rootkit程式，Rootkit是駭客專門用來在系統內藏匿惡意程式的技術，以讓phalanx2能夠有組織地竊取系統內的SSH金鑰，以用來攻擊其他的網站或系統。

SANS研究人員John Bambenek在部落格中說明，駭客可能是在幾個月前趁著Debian的系統漏洞取得部份金鑰，因此呼籲IT人員要儘快更新並置換相關的金鑰。

不論是US-CERT或Bambenek都建議IT管理人員要積極找出那些透過SSH金鑰自動存取的系統，特別是那些供遠端或網路存取的系統，確保這些系統皆已採用最新的修補程式，並鼓勵使用者同時利用金鑰及密碼登入系統以降低風險。

US-CERT亦列出如何檢驗系統是否存有phalanx2程式的路徑。（編譯/陳曉莉）