SSH sunucusu sıfır gün istismarı - Kendimizi koruma önerileri

Göre Internet Storm Center , bir SSH sıfırıncı gün orada istismar var gibi görünüyor.

Burada kavram kodunun bir kanıtı ve bazı referanslar var:

• http://secer.org/hacktools/0day-openssh-remote-exploit.html
• http://isc.sans.org/diary.html?storyid=6742

Bu ciddi bir sorun gibi görünüyor, bu yüzden her Linux / Unix sistem yöneticisi dikkatli olmalıdır.

Bu sorun zamanında çözülmezse kendimizi nasıl koruyabiliriz? Veya genel olarak sıfır günlük istismarları nasıl ele alırsınız?

* Önerilerimi cevaplara göndereceğim.

Damien Miller'dan (OpenSSH geliştiricisi) yorum: http://lwn.net/Articles/340483/

Özellikle, sağladığı paket izini analiz etmek için biraz zaman harcadım, ancak basit kaba kuvvet saldırılarından oluşuyor gibi görünüyor.

Yani, hiç bir 0günün varlığını sürdürmüyorum. Şimdiye kadarki tek kanıt, bazı anonim söylentiler ve doğrulanamayan izinsiz giriş transkriptleridir.

Benim önerim, IP'niz dışında herkese güvenlik duvarındaki SSH erişimini engellemektir. İptables'da:

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

Buna göre SANS yazısı, bu istismar does not work against current versions of SSHve dolayısıyla gerçekten 0 gün değil. Sunucularınızı yamalayın ve iyi olmalısınız.

Satıcılarınıza şikayet edin

Bu şekilde herkes yeni sürümü alır.

Hikayenin orijinal kaynağı FYI: http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

İki benzer hikaye daha vardır (astalavista.com ve başka bir siteyi hacklemek): romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

Birisinin bir gündemi var gibi görünüyor: romeo.copyandpaste.info/ ("0 günleri gizli tut")

SSH'yi tcprules kullanmak için derliyorum ve az sayıda izin kuralına sahibim, diğerlerini reddediyorum.

Bu aynı zamanda şifre girişimlerinin neredeyse tamamen ortadan kaldırılmasını ve ihlal girişimleri hakkında raporlar gönderdiğimde bunları ciddiye alabilmemi sağlar.

Bağlantı noktası 22'de ssh çalıştırmıyorum. Sık sık farklı makinelerden giriş yaptığım için iptables üzerinden erişimi engellemeyi sevmiyorum .

Bu sıfır gün saldırılarına karşı iyi bir korumadır - kesinlikle varsayılan konfigürasyondan sonra devam eder. Sadece sunucumdan ödün vermeye çalışan birine karşı daha az etkilidir. Bir bağlantı noktası taraması ssh üzerinde hangi bağlantı noktasını çalıştırdığımı gösterir, ancak rasgele SSH bağlantı noktalarına saldıran bir komut dosyası ana bilgisayarlarımdan atlar.

Bağlantı noktanızı değiştirmek için / etc / ssh / sshd_config dosyanıza Bağlantı Noktası'nı eklemeniz / değiştirmeniz yeterlidir .

Güvenlik duvarı ve beklerdim. Bağırsak içgüdüm iki şeyden biri:

A> Sahtekarlık. Şimdiye kadar verilen küçük ve eksik bilgi ile, ya bu ..

veya...

B 4.3. Neden? Eğer bir hacker kuruluşu olarak, sshd 5.2'de gerçekten harika bir sıfır gün istismarı bulursanız ne olur?

Çok kötü sadece en yeni sürümler (Fedora) bu sürümü içeriyor. Hiçbir önemli kuruluş bunu üretimde kullanmaz. Bolca RHEL / CentOS kullanın. Büyük hedefler. Bir çeşit temel sürüm kontrolünü korumak için tüm güvenlik düzeltmelerinin RHEL / CentOS backport'u iyi bilinir. Bunun arkasındaki takımlar hapşırmayacak. RHEL, 4.3'te herhangi bir kusur bulmak için tüm girişimleri tükettiğini (okudum, bağlantıyı kazmak zorunda kalacağını) yayınladı. Hayır sözcüğü hafife alınmaz.

Yani, fikre geri dönelim. Bir bilgisayar korsanı bir şekilde 4.3'e yakın bir karıştırmaya neden olur ve kitle histerisinin UG'ye 5.2p1 olmasına neden olur. Soruyorum: kaçınız zaten var?

Yanlış yönlendirme için bir "kanıt" oluşturmak için, tüm "söylenen grup" şimdi yapılması gereken daha önce güvenliği ihlal edilmiş bazı sistemleri ( WHMCS ? Önceki SSH?) Devralmak, bazı yarı gerçeklerle bazı günlükler oluşturmaktır (saldırı-ee doğrulandı "bir şey" yine de hedefle doğrulanamayan bazı şeyler) birinin "ısırması" umuduyla. Büyüyen endişe ve karışıklığın ortasında, onu daha ciddi hale getirmek için sert bir şey (... HostGator ...) yapmak için tek gereken büyük bir varlıktır.

Birçok büyük varlık backport yapabilir, ancak bazıları sadece yükseltme yapabilir. Yükselenler, henüz hiçbir açıklama yapmadan gerçek sıfır günlük saldırıya açıktır.

Yabancı şeylerin olduğunu gördüm. Mesela, üst üste ölen bir grup ünlü ...

Telnet'e geçilsin mi? :)

Şaka bir yana, güvenlik duvarınızı düzgün yapılandırdıysanız, zaten sadece birkaç ana bilgisayara SSH erişimine izin veriyor. Yani güvendesin.

En son Linux dağıtımlarında bulunan eski sürümleri kullanmak yerine SSH'yi kaynaktan (openssh.org'dan indirerek) yüklemek hızlı bir çözüm olabilir.