Эксплуатация нулевого дня на сервере SSH - предложения по защите

По данным Internet Storm Center , похоже, что существует уязвимость SSH нулевого дня.

Здесь есть некоторые доказательства концептуального кода и некоторые ссылки:

• http://secer.org/hacktools/0day-openssh-remote-exploit.html
• http://isc.sans.org/diary.html?storyid=6742

Это кажется серьезной проблемой, поэтому каждый системный администратор Linux / Unix должен быть осторожен.

Как мы можем защитить себя, если эта проблема не исправлена ​​вовремя? Или как вы справляетесь с подвигами нулевого дня в целом?

* Я отправлю свое предложение в ответах.

Комментарий Дэмиена Миллера (разработчика OpenSSH): http://lwn.net/Articles/340483/

В частности, я провел некоторое время, анализируя предоставленную им трассировку пакета, но, похоже, она состоит из простых атак методом перебора.

Так что я не убежден, что 0day существует вообще. Пока единственным доказательством являются некоторые анонимные слухи и непроверенные записи вторжений.

Мое предложение состоит в том, чтобы заблокировать доступ SSH на брандмауэре для всех, кроме вашего ip. На iptables:

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

Согласно такому посту SANS, этот эксплойт does not work against current versions of SSHи, следовательно, на самом деле не 0day. Патч своих серверов, и у вас все будет хорошо.

Пожаловаться на ваших поставщиков

Таким образом, все получают более новую версию.

К вашему сведению, первоначальный источник истории: http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

Есть также две похожие истории (взлом astalavista.com и другой сайт): romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

Похоже, у кого-то есть повестка дня: romeo.copyandpaste.info/ («Держите 0days в тайне»)

Я компилирую SSH, чтобы использовать tcprules, и имею небольшое количество разрешающих правил, запрещающих все остальные.

Это также гарантирует, что попытки ввода пароля почти исключены, и что когда мне отправляют отчеты о попытках взлома, я могу относиться к ним серьезно.

Я не запускаю ssh на порту 22. Поскольку я часто захожу с разных компьютеров, мне не нравится запрещать доступ через iptables .

Это хорошая защита от атак нулевого дня, которые наверняка пойдут после конфигурации по умолчанию. Он менее эффективен против тех, кто пытается скомпрометировать только мой сервер. Сканирование портов покажет, на каком порту я использую ssh, но скрипт, атакующий случайные порты SSH, пропустит мои хосты.

Чтобы изменить свой порт, просто добавьте / измените порт в файле / etc / ssh / sshd_config .

Я бы брандмауэр и подождал. Мой внутренний инстинкт - это одна из двух вещей:

A> Мистификация. Из-за небольшой и недостоверной информации, предоставленной до сих пор, это либо это ..

или...

B> Это попытка «дыма и обмана», вызывающая беспокойство по поводу 4.3. Почему? Что если вы, какая-то хакерская организация, найдете в sshd 5.2 действительно классный эксплойт нулевого дня.

Очень жаль, что только самые современные версии (Fedora) включают эту версию. Никакие существенные юридические лица не используют это в производстве. Много пользы RHEL / CentOS. Большие цели. Хорошо известно, что RHEL / CentOS поддерживают все свои исправления безопасности для сохранения своего рода базового контроля версий. Команды за этим не должны чихать. RHEL опубликовал (я читал, придется выкопать ссылку), что они исчерпали все попытки найти какой-либо недостаток в 4.3. Слова не следует воспринимать легкомысленно.

Итак, вернемся к идее. Хакер решил как-то вызвать ажиотаж около 4,3, вызвав массовую истерию UG до 5,2p1. Я спрашиваю: сколько из вас уже?

Чтобы создать какое-то «доказательство» для неправильного направления, все, что «сказала группа» должна сделать сейчас, это захватить некую ранее скомпрометированную систему ( WHMCS ? Предыдущий SSH?), Создать несколько журналов с некоторыми полуправдами (атака проверена «чем-то»). произошло, но некоторые вещи не поддаются проверке цели) надеясь, что кто-то "укусит". Все, что требуется, - это одна большая сущность, чтобы сделать что-то радикальное (... HostGator ...), чтобы сделать это немного более серьезным, среди растущей тревоги и растерянности.

Многие крупные организации могут делать бэкпорт, но некоторые могут просто обновиться. Те, которые обновляются, теперь открыты для реальной атаки нулевого дня без раскрытия.

Я видел странные вещи. Мол, куча знаменитостей, умирающих все подряд ...

Переключиться на Telnet? :)

Если не считать шуток, если ваш брандмауэр правильно настроен, он уже разрешает доступ по SSH только нескольким хостам. Так что вы в безопасности.

Быстрое решение может состоять в том, чтобы установить SSH из исходного кода (загрузив его с openssh.org) вместо использования старых версий, присутствующих в последних дистрибутивах Linux.