Бэкдор в образе Ubuntu для Amazon EC2, проверьтесь!

[yusman]

Пользуюсь тем же ami-c2a255ab, спасибо за информацию! Ключик удалил.

[solver]

В такие моменты задумываешься над действиями всех этих энтузиастов, которые «помогают» и выкладывают в общий доступ свои наработки…
Эх… паранойя… такая паранойя…

[mixrin]

Вообще не понимаю как можно пользоватся не вендорными образами на амазоне. Те же команды из гайда можно тупо перебить. «Забытый ключик» — одна из самых безобидных вещей, которую можно сделать.

[muromec]

о сколько нам открытий чудных!

такими тэмпами скоро кто-то прочитает ман по ubuntu-vm-builder (1) и узнает про дефолтные пароли.

[shushu]

команда last, показывает последние логины.
команда w показывает сколько сессий активно в данный момент и какая команда запущенна

[AlexTikhonov]

В принципе, коммерческие решения на бесплатном хостинге+не вендорном инстансе будут запускать уж слишком наивные люди, так что, мне кажется, самая большая опасность — это эдаких ботнет на инстансах убунты под амазоном :)

ключик убил, но может кто подскажет айдишник микор-образа, который можно поставить на тот бесплатный аккаунт? Так, на всякий случай :)

[pietrovich]

Мне было лениво готовить свое, поэтому ставил ami-ccf405a5 (Ubuntu 10.01 Server). А вообще в списке образов В Comunity AMIs есть фильтр «Free tier eligible»

[ComodoHacker]

Я сделал образ с текущего состояния и новый инстанс с него. На всякий случай, может они начнут удалять инстансы, сделанные с того образа.

[pietrovich]

Да уж конечно, возьмут и грохнут мой инстанс со всем добром что я насетапал. В худшем случае настойчиво попросят владельцев провести аудит, а грохать просто так не станут, чай не в африке.

[SilenceAndy]

На сайте Ubuntu есть страницы с указанием AMI которые можно использовать не опасаясь: 8.04 9.10 10.04 10.10 11.04 b1

[ComodoHacker]

Спасибо, добавил в топик.

[Scrill]

Вообще там в каждом втором образе такие «бэкдоры». Я всегда проверяю 'authorized_keys' и /etc/shadow в незнакомом AMI.

Хорошие убунтовые образы 10.04:
* ami-3e02f257 (i386)
* ami-3202f25b (x86_64)

[ComodoHacker]

А что нужно проверить в /etc/shadow?

[Scrill]

Наличие хешей, то есть установлены ли у кого-нибудь пароли.

[ComodoHacker]

У пользователя ubuntu есть, начинается с "!$6$". Нужно что-то делать?

[Scrill]

Если начинается с '!', можно неичего не делать, вроде бы :)

[yusman]

А если, например, ssh забэкдорен что ты будешь делать?

[Scrill]

А если страдаешь паранойей — сделай свой AMI и юзай его.

[yusman]

Я не страдаю пароноей, мне вообще до п… ы на сервис амазона, меня он вообще не устраивает своим подходом к тарифам и организации работы. Просто я не думаю, что человек который начинает там работать захочет разбираться как ему делать свой AMI, ему просто захочется, в большинстве случаев, взять уже готовый.

[Scrill]

Для этого есть офиальные и рекомендованные образы.

[Paskal]

Я бы помимо бекдора в виде дополнительного рутового ключика еще пересобрал бы какой-нибудь дефолтный пакет, добавив в него отправку репорта на свой сервер о том, что вот она, машина с бэкдором. В cd, к примеру — первый набор команды посылал бы get к определенной странице на моем сайте, IP записывался бы в лог.

[Paskal]

Передумал, лучше apt-get. И сделал бы его на версию ниже того, что в репах. Человек делает apt-get update && apt-get upgrade, улики стерлись, а я уже знаю его IP.

[BigD]

Тоже делал сервер по той инструкции, выключил сервер сразу после получения письма от Амазона. Буду делать другой.

[white_panda]

Тоже получил письмо вчера, ключи удалил.
Но у меня вопрос — Амазон вроде говорит, что в обязательном порядке будет удалять этот AMI. Как безболезненно перейти на другой? /etc и /home — это части AMI или все это хранится в EBS и при смене AMI стерто не будет?
У меня до сих пор некоторые вещи в Amazon AWS вызывают сомнения.

[ComodoHacker]

Если вы все делали по той инструкции, то /etc и /home — это части AMI и все это хранится в EBS. Другое дело, что все что там хранится это снепшоты, и зависят ли они от исходного AMI, я сказать затрудняюсь.