Hola a todos,

Estaba leyendo unos artículos en:

http://tools.cisco.com/security/center/viewAlert.x?alertId=16547

http://news.cnet.com/8301-13505_3-10026829-16.html

Que más o menos dice así:
"... Los ataques parecen usar llaves SSH robadas para tomar control de las máquinas víctimas y luego ganar acceso de root explotando las debilidades del kernel. Los atacantes proceden a instalar un rootkit conocido como Phalanx2 ..."

He leído también que los sistemas vulnerables a ataques con SSH robados son Debian y Ubuntu. Yo uso Debian etch y no le he hecho ninguna actualización al kernel. Uso Kernel 2.6.8-5. Utilizo el sistema para correr asterisk y apache2.0

Me gustaría saber si mi kernel es vulnerable a los 2 ataques anteriormente citados:
1) Llaves SSH robadas
2) Escalamiento de privilegios a root

Cómo puedo hacer para comprobarlo? denme una idea para poder hacer las pruebas. Sería muy intersante aprender a proteger un sistema contra este tipo de ataques. Creo que para todos.

Cualquier comentario es bienvenido, gracias.

pero nessus no es de pago?

Para la pregunta de si eres vulnerable a lo de las claves SSH, teniendo activado el repositorio de actualizaciones de seguridad de Debian es suficiente (haciendo un apt-get update && apt-get upgrade).

Para el kernel, con lo anterior también es suficiente, a no ser que tu explicitamente hayas dicho en la config de APT que no quieres que te toque para nada el kernel. En este caso, tendrás que comparar la versión de tu kernel con las versiones vulnerables a ese fallo, si coincide, entonces tendrás que dejar que APT vuelva a actualizarte el kernel.

Un saludo.
/MrX