Експлуатація нульового дня на сервері SSH - пропозиції щодо захисту себе

Згідно з даними Центру штормів в Інтернеті , там, схоже, відбувається експлуатування нульового дня SSH.

Тут є деякі докази поняття коду та деякі посилання:

• http://secer.org/hacktools/0day-openssh-remote-exploit.html
• http://isc.sans.org/diary.html?storyid=6742

Це здається серйозною проблемою, тому кожен системний адміністратор Linux / Unix повинен бути обережним.

Як ми захистимо себе, якщо це питання не буде виправлено вчасно? Або як ти взагалі справляєшся з подвигами нульового дня?

* Я опублікую свою пропозицію у відповідях.

Коментар від Деміена Міллера (розробник OpenSSH): http://lwn.net/Articles/340483/

Зокрема, я провів деякий час, аналізуючи пакет, який він надав, але, схоже, він складається з простих грубої атаки.

Отже, мене не переслідують, що 0day взагалі існує. Єдиним доказом поки що є деякі анонімні чутки та неперевірені стенограми про вторгнення.

Моя пропозиція - заблокувати доступ SSH на брандмауері всім іншим, крім вашого ip. На iptables:

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

Відповідно до посту ДАНС, цей подвиг does not work against current versions of SSH, і, таким чином, насправді не 0 днів. Патч ваших серверів, і ви повинні добре.

Поскаржись своїм постачальникам

Таким чином, всі отримують новішу версію.

FYI, першоджерело історії: http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

Також є дві подібні історії (злому astalavista.com та інший сайт): romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

Схоже, у когось є порядок денний: romeo.copyandpaste.info/ ("Тримайте приватні дні 0")

Я компілюю SSH для використання tcprules і маю невелику кількість дозвольних правил, заперечуючи всі інші.

Це також гарантує, що спроби пароля майже усунені, і що коли мені надсилаються повідомлення про спроби зламу, я можу сприймати їх серйозно.

Я не запускаю ssh на порт 22. Оскільки я часто входжу з різних машин, мені не подобається забороняти доступ через iptables .

Це хороший захист від атак з нульовим днем - що, безумовно, піде після конфігурації за замовчуванням. Це менш ефективно проти того, хто намагається скомпрометувати лише мій сервер. Сканування порту покаже, на якому порту я запускаю ssh, але сценарій, що атакує випадкові порти SSH, пропустить мої хости.

Щоб змінити свій порт, просто додайте / модифікуйте порт у файлі / etc / ssh / sshd_config .

Я б брандмауер і зачекав. Мій інстинкт кишки - це одна з двох речей:

A> Підступ. За малою та пропущеною інформацією, наданою поки що, це або це ..

або ...

B> Це спроба "диму та обману" викликати занепокоєння щодо 4.3. Чому? Що робити, якщо ви, якась хакерська організація, знайдете справді крутий нульовий день експлуатації в sshd 5.2.

Шкода, що в цій версії є лише передові версії (Fedora). Жодна істотна організація не використовує це у виробництві. Використовуйте RHEL / CentOS. Великі цілі. Добре відомо, що RHEL / CentOS підтримує всі свої виправлення безпеки, щоб зберегти базовий контроль над версіями. Команди, що стоять за цим, не повинні чхати. RHEL опублікував (я читав, доведеться викопати посилання), що вони вичерпали всі спроби знайти будь-яку ваду в 4.3. Слова не можна сприймати легковажно.

Отже, повернемося до ідеї. Хакер вирішує якось викликати ворушіння близько 4,3, викликаючи масову істерику в UG до 5,2p1. Я запитую: скільки вас уже є?

Щоб створити якийсь "доказ" для промахування, все, що "згадана група" повинна була зробити зараз, це взяти якусь раніше скомпрометовану систему ( WHMCS ? Попередній SSH?), Створити кілька журналів з деякими напівправдями (атака-ee перевірено "щось" сталося, але деякі речі, неперевірені мішенню), сподіваючись, що хтось "вкусить". Все, що потрібно, - це одна велика організація, щоб зробити щось кардинальне (... HostGator ...), щоб зробити це трохи серйозніше, серед зростаючих проблем і сум'яття.

Багато великих суб'єктів можуть підтримувати, але деякі можуть просто оновити. Ті, що оновлюються, тепер відкриті для справжньої атаки з нульовим днем ​​без розкриття досі.

Я бачив, як трапляються чужі речі. Мовляв, купа знаменитостей гине всіх підряд ...

Перейти на Telnet? :)

Жартуючи вбік, якщо ваш брандмауер правильно налаштований, він вже дозволяє лише SSH отримати доступ до кількох хостів. Так що ви в безпеці.

Швидким виправленням може бути встановлення SSH з джерела (завантаження його з openssh.org), а не використання старих версій, які є в останніх дистрибутивах Linux.