एसएसएच सर्वर शून्य-दिन का शोषण - खुद को बचाने के लिए सुझाव

इंटरनेट स्टॉर्म सेंटर के अनुसार , एसएसएच शून्य-दिन का शोषण होने लगता है।

यहाँ कुछ अवधारणा कोड का प्रमाण है और कुछ संदर्भ:

• http://secer.org/hacktools/0day-openssh-remote-exploit.html
• http://isc.sans.org/diary.html?storyid=6742

यह एक गंभीर मुद्दा लगता है, इसलिए हर लिनक्स / यूनिक्स सिस्टम प्रशासक को सावधान रहना चाहिए।

यदि हम इस मुद्दे को समय पर नहीं सुलझाते हैं तो हम अपनी सुरक्षा कैसे करेंगे? या आप सामान्य रूप से शून्य-दिन के कारनामों को कैसे संभालते हैं?

* मैं अपना सुझाव उत्तर में पोस्ट करूंगा।

डेमियन मिलर (ओपनएसएसएच डेवलपर) की टिप्पणी: http://lwn.net/Articles/340483/

विशेष रूप से, मैंने एक पैकेट ट्रेस का विश्लेषण करने में कुछ समय बिताया जो उसने प्रदान किया था, लेकिन यह सरल जानवर-बल के हमलों से मिलकर लगता है।

इसलिए, मैं इस बात का पीछा नहीं कर रहा हूं कि एक 0day बिल्कुल मौजूद है। अब तक के एकमात्र सबूत कुछ गुमनाम अफवाहें और अपरिहार्य घुसपैठ टेप हैं।

मेरा सुझाव है कि अपने आईपी के अलावा बाकी सभी के लिए फ़ायरवॉल पर एसएसएच पहुंच को अवरुद्ध करें। Iptables पर:

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

इसलिए SANS पोस्ट के अनुसार, यह शोषण है does not work against current versions of SSH, और इस तरह वास्तव में एक 0day नहीं है। अपने सर्वर को पैच करें, और आपको ठीक होना चाहिए।

अपने विक्रेताओं से शिकायत करें

इस तरह हर कोई नया संस्करण प्राप्त करता है।

FYI करें, कहानी का मूल स्रोत: http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

इसी तरह की दो कहानियां (astalavista.com और एक अन्य साइट को हैक करना) हैं: romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

ऐसा लगता है कि किसी के पास एक एजेंडा है: romeo.copyandpaste.info/ ("0 दिन निजी रखें")

मैं SSH को tcprules का उपयोग करने के लिए संकलित करता हूं, और सभी के लिए इनकार करते हुए, नियमों की एक छोटी संख्या है।

यह यह भी सुनिश्चित करता है कि पासवर्ड प्रयास बहुत कम समाप्त हो गए हैं, और जब मुझे ब्रेकिन प्रयासों के बारे में रिपोर्ट भेजी जाती है, तो मैं उन्हें गंभीरता से ले सकता हूं।

मैं पोर्ट 22 पर ssh नहीं चलाता हूं। चूंकि मैं अक्सर विभिन्न मशीनों से लॉगिन करता हूं, इसलिए मुझे iptables के माध्यम से पहुंच को रोकना पसंद नहीं है ।

यह शून्य-दिन के हमलों के खिलाफ अच्छी सुरक्षा है - जो निश्चित रूप से डिफ़ॉल्ट कॉन्फ़िगरेशन के बाद जाएगा। यह किसी ऐसे व्यक्ति के खिलाफ कम प्रभावी है जो सिर्फ मेरे सर्वर से समझौता करने की कोशिश कर रहा है। एक पोर्ट स्कैन दिखाएगा कि मैं किस पोर्ट पर ssh चला रहा हूं, लेकिन यादृच्छिक SSH पोर्ट पर हमला करने वाली स्क्रिप्ट मेरे होस्ट पर छोड़ देगी।

अपना पोर्ट बदलने के लिए, बस अपने / etc / ssh / sshd_config फ़ाइल में पोर्ट जोड़ें / संशोधित करें ।

मैं फ़ायरवॉल और प्रतीक्षा करूँगा। मेरी आंत वृत्ति दो चीजों में से एक है:

ए> होक्स। अब तक दी गई छोटी और छूटी जानकारी से, यह या तो यह है ..

या ...

B> यह एक "धूम्रपान और धोखे" का प्रयास है, जिससे 4.3 पर चिंता हो सकती है। क्यों? क्या होगा अगर आप, कुछ हैकर संगठन, sshd 5.2 में एक बहुत अच्छा शून्य-दिन का शोषण पाते हैं।

बहुत बुरा केवल अत्याधुनिक रिलीज (फेडोरा) इस संस्करण को शामिल करता है। उत्पादन में कोई पर्याप्त संस्थाएं इसका उपयोग नहीं करती हैं। RHEL / CentOS का भरपूर उपयोग। बड़ा निशाना। यह सभी प्रकार के बुनियादी संस्करण नियंत्रण को बनाए रखने के लिए अपनी सभी सुरक्षा सुधारों के लिए आरएचईएल / सेंटो बैकपोर्ट के लिए अच्छी तरह से जाना जाता है। इसके पीछे की टीमों को छींकना नहीं है। आरएचईएल ने पोस्ट किया है (मैंने पढ़ा है, लिंक खोदना होगा) कि वे 4.3 में किसी भी दोष को खोजने के सभी प्रयासों को समाप्त कर चुके हैं। शब्दों को हल्के में नहीं लिया जाना चाहिए।

तो, वापस विचार करने के लिए। एक हैकर किसी तरह 4.3 के बारे में हलचल पैदा करने का फैसला करता है, जिससे यूजी से 5.2p1 तक बड़े पैमाने पर उन्माद होता है। मैं पूछता हूं: आप में से कितने पहले से ही हैं?

मिसकॉलिज़न के लिए कुछ "प्रमाण" बनाने के लिए, सभी "उक्त समूह" को करना होगा अब कुछ पहले से समझौता किए गए सिस्टम ( WHMCS ? पिछला SSH?) को संभालना होगा , कुछ अर्ध-सत्य (अटैक-ई) सत्यापित के साथ कुछ लॉग बनाएं? हुआ, अभी तक कुछ चीजें लक्ष्य से अपरिवर्तित हैं) किसी को "काटने" की उम्मीद है। बढ़ती चिंता और भ्रम के बीच इसे थोड़ा और अधिक गंभीर (... HostGator ...) करने के लिए यह एक बड़ी इकाई है।

कई बड़ी इकाइयां बैकपोर्ट कर सकती हैं, लेकिन कुछ बस अपग्रेड कर सकती हैं। वे जो अपग्रेड करते हैं, अब वास्तविक शून्य-दिन के हमले के लिए खुले हैं और अभी तक कोई खुलासा नहीं हुआ है।

मैंने देखा है अजनबी चीजें होती हैं। जैसे, मशहूर हस्तियों का एक झुंड सभी एक पंक्ति में मर रहा है ...

टेलनेट पर स्विच करें? :)

यदि आप अपने फ़ायरवॉल को ठीक से कॉन्फ़िगर करते हैं, तो यह मज़ाक में है, यह पहले से ही केवल कुछ मेजबानों तक एसएसएच की पहुँच की अनुमति देता है। इसलिए आप सुरक्षित हैं।

नवीनतम लिनक्स वितरण पर मौजूद पुराने संस्करणों का उपयोग करने के बजाय, स्रोत से SSH को स्थापित करने के लिए एक त्वरित निर्धारण हो सकता है (इसे Opensh.org से डाउनलोड करके)।