Согласно Internet Storm Center, похоже, существует эксплойт нулевого дня SSH.
Здесь есть некоторые доказательства концептуального кода и некоторые ссылки:
Это кажется серьезной проблемой, поэтому каждый системный администратор Linux / Unix должен быть осторожен.
Как мы защитим себя, если эта проблема не будет исправлена вовремя? Или как вы вообще справляетесь с эксплойтами нулевого дня?
* Я отправлю свое предложение в ответах.
Я предлагаю заблокировать SSH-доступ на брандмауэре для всех, кроме вашего ip. В iptables:
/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP
Комментарий Дэмиена Миллера (разработчик OpenSSH): http://lwn.net/Articles/340483/
В частности, я потратил некоторое время на анализ предоставленной им трассировки пакетов, но, похоже, она состоит из простых атак методом перебора.
Итак, я не уверен, что нулевой день вообще существует. Пока что единственными доказательствами являются анонимные слухи и непроверяемые записи вторжений.
Согласно сообщению SANS, этот эксплойт does not work against current versions of SSH, и поэтому на самом деле это не нулевой день. Исправьте свои серверы, и все будет в порядке.
К вашему сведению, первоисточник истории: http://romeo.copyandpaste.info/txt/ssanz-pwned.txt
Также есть две похожие истории (взлом astalavista.com и еще один сайт): romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt
Похоже, у кого-то есть повестка дня: romeo.copyandpaste.info/ ("Оставить 0 дней в секрете")
Таким образом, все получат более новую версию.
Я компилирую SSH для использования tcprules и имею небольшое количество разрешающих правил, запрещающих все остальные.
Это также гарантирует, что попытки ввода пароля практически исключены, и что когда мне будут отправлены отчеты о попытках взлома, я могу серьезно отнестись к ним.
Я не использую ssh на порту 22. Поскольку я часто захожу в систему с разных компьютеров, мне не нравится запрещать доступ через iptables.
Это хорошая защита от атаки нулевого дня - который обязательно будет после конфигурации по умолчанию. Он менее эффективен против кого-то, кто пытается скомпрометировать только мой сервер. Сканирование портов покажет, на каком порту я использую ssh, но сценарий, атакующий случайные порты SSH, пропустит мои хосты.
Чтобы изменить свой порт, просто добавьте / измените Порт в твоем / и т.д. / SSH / sshd_config файл.
Я брандмауэр и ждал. Мой инстинкт - это одно из двух:
A> Обман. Судя по небольшой и упущенной информации, приведенной до сих пор, это либо ...
или...
B> Это попытка "дым и обман", чтобы вызвать озабоченность по поводу 4.3. Зачем? Что, если вы, какая-то хакерская организация, найдете в sshd 5.2 действительно крутой эксплойт нулевого дня.
Жаль, что только самые современные выпуски (Fedora) включают эту версию. Никакие существенные организации не используют это в производстве. Много пользуйтесь RHEL / CentOS. Большие цели. Хорошо известно, что RHEL / CentOS поддерживает все исправления безопасности, чтобы сохранить какой-то базовый контроль версий. На команды, стоящие за этим, нельзя чихать. RHEL опубликовал (я читал, пришлось бы выкопать ссылку), что они исчерпали все попытки найти какой-либо недостаток в 4.3. К словам нельзя относиться легкомысленно.
Итак, вернемся к идее. Хакер решил как-то наделать шума по поводу 4.3, вызвав массовую истерию в UG до 5.2p1. Я спрашиваю: сколько из вас уже?
Чтобы создать некое «доказательство» неправильного направления, все, что «указанной группе» нужно было сделать сейчас, - это захватить некоторую ранее скомпрометированную систему (WHMCS? Предыдущий SSH?), Создайте журналы с полуправдой (атака подтвердила, что «что-то произошло», но что-то не поддается проверке целью), надеясь, что кто-то «укусит». Все, что требуется, - это одна большая организация, чтобы сделать что-то радикальное (... HostGator ...), чтобы сделать его немного более серьезным среди растущей тревоги и замешательства.
Многие крупные объекты могут выполнять резервное копирование, но некоторые могут просто обновляться. Те, что обновляются, теперь открыты для настоящей атаки нулевого дня, и пока не разглашаются.
Я видел странные вещи. Мол, куча знаменитостей умирает подряд ...
Перейти на Telnet? :)
Помимо шуток, если у вас правильно настроен брандмауэр, он уже разрешает доступ SSH только к нескольким хостам. Так что вы в безопасности.
Быстрое исправление может заключаться в установке SSH из источника (загрузка его с openssh.org) вместо использования старых версий, которые присутствуют в последних дистрибутивах Linux.