Образ AMI (Amazon Machine Image) ami-c2a255ab, который использовался в статье “Как попасть в Америку. Создаём VPN-сервер в Amazon EC2“, оказался уязвимым. Вот цитата с описанием ситуации и предлагаемым решением проблемы: Показать ▼
Важная информация для тех, кто использует AMI за номером ami-c2a255ab
Сегодня Amazon прислал письмо следующего содержания:
Hello,
It has recently come to our attention that a public AMI in the US-East region is being distributed with an included SSH public key that will allow the publisher to log in as root. Our records indicate that you have, or have had, instances launched from this AMI.
Compromised AMI: ami-c2a255ab
Your AWS Account ID: 1212354851565
Your Instance ID(s): i-bxxxxxx
It is our recommendation that you consider instances based on this AMI compromised and immediately migrate your services to a new instance based on a different AMI. We are in the process of disabling the compromised AMI but it is possible that it will still be available by the time you receive this. You should not launch new instances from this AMI.
While you are migrating your services to a new instance we also recommend that you disable the offending SSH key. To do so, remove the following text from the ‘/root/.ssh/authorized_keys’ file on each running instance:
ssh-rsa AAAAB3NzaC1y [...] qnnLBy6On guru
We’re sorry for any inconvenience this may have caused.
Best regards,
The Amazon EC2 Security Team
This message was produced and distributed by Amazon Web Services LLC, 410 Terry Avenue North, Seattle, Washington 98109-5210
Вкратце суть письма заключается в том, что в образе AMI под номером ami-c2a255ab обнаружена критическая уязвимость. Именно этот образ использовался нами изначально в статье “Как попасть в Америку. Создаём VPN-сервер в Amazon EC2”. В настоящее время в тексте статьи указан другой образ. Если же вы уже успели воспользовался советами из статьи и установили ami-c2a255ab рекомендуется немедленно сделать следующие действия.
Подключитесь с помощью PuTTY к консоли удалённого сервера и введите команду
sudo nano /root/.ssh/authorized_keys
В открывшемся файле удалите строку, которая указана в письме – ssh-rsa AAAAB3N […]y6On guru. Это должна быть первая строка в файле, но на всякий случай убедитесь в этом. Если вы не создавали дополнительных ключей для авторизации, то в файле должна остаться только одна строка с ключом, который нам выдал Amazon при создании сервера. Сохраните файл (F2, Enter) и выходите (Ctrl+X). Аналогичным образом необходимо отредактировать ещё один файл:
sudo nano /home/ubuntu/.ssh/authorized_keys
Суть уязвимости в том, что автор образа случайно или преднамеренно оставил возможность получить доступ к любой системе на базе этого AMI с помощью собственного ключа. Скорее всего это просто оплошность, но тем не менее неплохо было бы посмотреть логи авторизации на сервере командами:
grep Accepted /var/log/auth.log*
zcat /var/log/auth.log.?.gz | grep Accepted
Посмотрите, нет ли в выводе каждой команды авторизации с подозрительного IP-адреса (например, не принадлежащего вашему провайдеру) или под другим именем пользователя. На строчку, начинающуюся с Nov 1 03:21:52 обращать внимания не стоит.
В общем-то, этим решением можно вполне ограничиться. Но кто знает, что придёт в голову доблестной зондер-команде Amazon’а. Могут и удалить все инстансы, которые использую уязвимый AMI. Чтобы этого избежать, можно перейти на другой, безопасный с точки зрения Amazon, образ. Инстансы нельзя удалять в прямом смысле этого слова. Зато их можно “терминировать” =). Для этого надо перейти в консоли управления в раздел Instances, кликнуть правой кнопкой по текущему запущенному инстансу и нажать Stop. Естественно, потребуется подтвердить это действие. Прочитать остальную часть записи »
Рубрика: 
02.05.2011
