硬核观察 #762 Facebook 在数百万台服务器上使用 Kpatch 内核实时补丁

2022-09-17
2分钟阅读时长

Facebook 在数百万台服务器上使用 Kpatch 内核实时补丁

内核实时补丁允许内核在运行时安全地实施就地修补,而无需为了升级内核而进行冗长的开机自检(POST)和启动过程。Facebook 采用的是红帽的 Kpatch 方案,已经在其数百万台服务器上进行了部署。除了 Kpatch 方案之外,其它的内核实时补丁方案还有 SUSE 维护的 kGraft 和 Oracle 的 Ksplice 方案。Facebook 还分享了他们在应用过程中遇到的各种问题。

消息来源:Phoronix

老王点评:这是我听到的内核实时补丁最大规模的部署了,看起来已经可以在大规模生产环境使用了。Facebook 的经验可以学习一下。

黑客使用木马版 PuTTY SSH 客户端植入后门

安全公司报告,黑客组织在一次针对媒体公司的钓鱼攻击中使用了木马版 PuTTY SSH 客户端。PuTTY 是流行的开源 SSH 客户端。攻击者首先向目标发送邮件提供亚马逊的工作机会,后续通信中发送了包含了 IP 地址和登陆凭证以及木马版的 PuTTY 的文件。攻击者诱骗受害者打开文件运行木马版本以进行技能评估。但该版本含有恶意载荷,会部署和安装后门程序。

消息来源:Mandiant

老王点评:PuTTY 是一个小巧而流行的 SSH 客户端,但是一定要使用一个干净的。很多人在临时使用 SSH 时,都会去网上随便搜索一个 PuTTY 下载使用,这种往往是有木马的。

LastPass 表示在驱逐前已被入侵内部系统 4 天

今年 8 月,LastPass 被入侵,入侵者使用多因素身份验证成功通过了身份验证,从而访问了内部开发环境。但 LastPass 表示,“系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。这很可能是因为只有构建发布团队才能将代码从开发环境推送到产品环境,而它们是“物理分离,没有直接连接”的。

消息来源:BleepingComputer

老王点评:虽然入口被突破,但是内部损失有限,这说明良好的内部 IT 环境还是相当重要的。