SSH服务器零日攻击-保护自己的建议

根据Internet Storm Center的说法，那里似乎存在SSH零时差漏洞。

这里有一些概念证明代码和一些参考资料：

• http://secer.org/hacktools/0day-openssh-remote-exploit.html
• http://isc.sans.org/diary.html?storyid=6742

这似乎是一个严重的问题，因此每个Linux / Unix系统管理员都应该小心。

如果未及时解决此问题，我们如何保护自己？还是您一般如何处理零时差攻击？

*我将在回复中发表我的建议。

Damien Miller（OpenSSH开发人员）的评论：http : //lwn.net/Articles/340483/

特别是，我花了一些时间分析他提供的数据包跟踪，但它似乎由简单的蛮力攻击组成。

因此，我完全不认为存在0天。到目前为止，唯一的证据是一些匿名谣言和无法验证的入侵记录。

我的建议是阻止除IP外的其他人在防火墙上进行SSH访问。在iptables上：

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

因此，根据SANS的帖子，这种利用does not work against current versions of SSH并不是真正的0day。修补服务器，就可以了。

向您的供应商投诉

这样，每个人都可以获得更新的版本。

仅供参考，故事的原始来源：http : //romeo.copyandpaste.info/txt/ssanz-pwned.txt

还有两个类似的故事（攻击astalavista.com和另一个站点）：romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

似乎有人在议程：romeo.copyandpaste.info/（“保持0天不公开”）

我将SSH编译为使用tcprules，并具有少量的allow规则，拒绝其他所有规则。

这也可以确保几乎消除了密码尝试，并且在向我发送有关入侵尝试的报告时，我可以认真对待它们。

我不在端口22上运行ssh。由于我经常从其他计算机登录，因此我不喜欢阻止通过iptables进行访问。

这是抵御零时差攻击的好方法 -肯定会在默认配置之后执行。对于试图只破坏我的服务器的人而言，它的效果较差。端口扫描将显示我在ssh上运行的端口，但是攻击随机SSH端口的脚本将跳过我的主机。

要更改端口，只需在/ etc / ssh / sshd_config文件中添加/修改端口。

我会防火墙等待。我的直觉是两件事之一：

A>骗局。到目前为止，所提供的信息很少，就是这样。

要么...

B>这是一次“冒烟与欺骗”的尝试，引起了对4.3的关注。为什么？如果您（某些黑客组织）在sshd 5.2中发现了一个非常酷的零日漏洞，该怎么办？

太糟糕了，只有最新版本（Fedora）才包含此版本。没有实质性实体在生产中使用它。大量使用RHEL / CentOS。大目标。众所周知，RHEL / CentOS向后移植了所有安全修复程序，以保留某种基本的版本控制。此背后的团队不容小。RHEL已发布（我读过，必须去挖掘链接），他们已经竭尽所有尝试查找4.3中的任何缺陷。不可掉以轻心。

所以，回到想法。黑客决定以某种方式引起大约4.3的骚动，导致大量歇斯底里的UG达到5.2p1。我问：你们已经有几个？

要为误导创建一些“证明”，所有“所述组”现在所要做的就是接管一些以前被盗用的系统（WHMCS？先前的SSH？），创建一些带有一半事实的日志（attack-ee验证的“ something”）发生了，但某些事情无法通过目标进行验证）希望有人“咬”。它所需要的只是一个更大的实体，在焦虑和混乱不断加剧的情况下，使事情变得更加严肃（... HostGator ...），使其变得更加严肃。

许多大型实体可能会向后移植，但有些可能只是升级。那些升级后的服务器现在可以进行真正的零日攻击，目前还没有披露。

我已经看到了奇怪的事情发生。就像一群名人死于一排...

切换到Telnet？:)

顺便说一句，如果您正确配置了防火墙，则它仅允许SSH访问一些主机。所以你很安全。

一个快速的解决方法可能是从源代码安装SSH（从openssh.org下载），而不是使用最新Linux发行版中存在的旧版本。