เซิร์ฟเวอร์หาประโยชน์ SSH zero-day - คำแนะนำในการป้องกันตนเอง

จากข้อมูลของศูนย์ Storm Internetดูเหมือนว่าจะมีการใช้ประโยชน์จากศูนย์ SSH เป็นระยะเวลาหนึ่งวัน

มีการพิสูจน์โค้ดแนวคิดในที่นี่และการอ้างอิงบางส่วน:

• http://secer.org/hacktools/0day-openssh-remote-exploit.html
• http://isc.sans.org/diary.html?storyid=6742

นี่เป็นปัญหาร้ายแรงดังนั้นผู้ดูแลระบบ Linux / Unix ทุกคนควรระวัง

เราจะป้องกันตัวเองได้อย่างไรหากปัญหานี้ไม่ได้รับการแก้ไขในเวลา? หรือคุณจัดการกับการหาประโยชน์ที่ไม่มีวันได้โดยทั่วไปอย่างไร?

* ฉันจะโพสต์ข้อเสนอแนะของฉันในการตอบกลับ

ความคิดเห็นจาก Damien Miller (ผู้พัฒนา OpenSSH): http://lwn.net/Articles/340483/

โดยเฉพาะอย่างยิ่งฉันใช้เวลาในการวิเคราะห์ร่องรอยของแพ็คเก็ตที่เขาให้ แต่ดูเหมือนว่าจะประกอบด้วยการโจมตีแบบเดรัจฉาน

ดังนั้นฉันไม่ได้ติดตามว่า 0 วันนั้นมีอยู่จริง หลักฐานเพียงอย่างเดียวคือข่าวลือที่ไม่ระบุชื่อและหลักฐานการบุกรุกที่พิสูจน์ไม่ได้

คำแนะนำของฉันคือการบล็อกการเข้าถึง SSH บนไฟร์วอลล์ให้กับทุกคนนอกเหนือจาก ip ของคุณ บน iptables:

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

ตามโพสต์ SANS การใช้ประโยชน์นี้does not work against current versions of SSHและดังนั้นจึงไม่ใช่ 0 วัน แก้ไขเซิร์ฟเวอร์ของคุณและคุณควรจะปรับ

ร้องเรียนผู้ขายของคุณ

ด้วยวิธีนี้ทุกคนจะได้รับเวอร์ชันที่ใหม่กว่า

FYI แหล่งต้นฉบับของเรื่องราว: http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

นอกจากนี้ยังมีสองเรื่องที่คล้ายกัน (การแฮ็ก astalavista.com และเว็บไซต์อื่น): romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

ดูเหมือนว่าใครบางคนมีวาระการประชุม: romeo.copyandpaste.info/ ("รักษาความเป็นส่วนตัว 0 วัน")

ฉันรวบรวม SSH เพื่อใช้ tcprules และมีกฎอนุญาตจำนวนน้อยปฏิเสธคนอื่น ๆ ทั้งหมด

สิ่งนี้ยังช่วยให้มั่นใจได้ว่าความพยายามในการใช้รหัสผ่านนั้นเกือบจะถูกกำจัดไปแล้วและเมื่อฉันถูกส่งรายงานเกี่ยวกับการพยายาม breakin ฉันสามารถดำเนินการอย่างจริงจังได้

ฉันไม่ได้เรียกใช้ SSH บนพอร์ต 22. ตั้งแต่ผมมักจะเข้าสู่ระบบจากเครื่องแตกต่างกันผมไม่ชอบการป้องกันการเข้าถึงผ่านiptables

นี่คือการป้องกันที่ดีสำหรับการโจมตีแบบzero-day - ซึ่งแน่นอนว่าจะไปหลังจากการกำหนดค่าเริ่มต้น มันมีประสิทธิภาพน้อยกว่ากับคนที่พยายามจะประนีประนอมเพียงเซิร์ฟเวอร์ของฉัน การสแกนพอร์ตจะแสดงพอร์ตที่ฉันกำลังรันอยู่ แต่สคริปต์ที่โจมตีพอร์ต SSH แบบสุ่มจะข้ามโฮสต์ของฉัน

หากต้องการเปลี่ยนพอร์ตของคุณเพียงเพิ่ม / แก้ไขพอร์ตในไฟล์/ etc / ssh / sshd_config ของคุณ

ฉันจะไฟร์วอลล์และรอ สัญชาตญาณของฉันเป็นหนึ่งในสองสิ่ง:

A> การหลอกลวง จากข้อมูลเล็ก ๆ น้อย ๆ และข้อมูลพลาดที่ได้รับมามันเป็นอย่างนี้ ..

หรือ...

B> นี่เป็นความพยายาม "ควันและการหลอกลวง" ที่ทำให้เกิดข้อกังวลมากกว่า 4.3 ทำไม? ถ้าคุณเป็นองค์กรแฮ็กเกอร์บางคนค้นหาการใช้ประโยชน์จาก zero-day ที่ยอดเยี่ยมใน sshd 5.2

แย่มากที่มีเฉพาะรุ่นที่ทันสมัย ​​(Fedora) ที่รวมรุ่นนี้ ไม่มีเอนทิตีที่ใช้ในการผลิต ใช้ RHEL / CentOS อย่างมาก เป้าหมายใหญ่ เป็นที่รู้จักกันดีในนาม RHEL / CentOS backport การแก้ไขความปลอดภัยทั้งหมดเพื่อคงการควบคุมเวอร์ชันพื้นฐานเอาไว้ ทีมที่อยู่เบื้องหลังสิ่งนี้จะไม่ถูกจาม RHEL ได้โพสต์ (ฉันอ่านจะต้องขุดลิงก์) ว่าพวกเขาได้ใช้ความพยายามทั้งหมดเพื่อค้นหาข้อบกพร่องใน 4.3 แล้ว คำที่ไม่ต้องดำเนินการเบา ๆ

ดังนั้นกลับไปที่ความคิด แฮกเกอร์ตัดสินใจที่จะก่อให้เกิดการกวนประมาณ 4.3 ทำให้ฮิสทีเรียมวลไปที่ UG เป็น 5.2p1 ฉันถาม: มีกี่คนแล้ว?

ในการสร้าง "หลักฐาน" สำหรับ missdirection กลุ่มทั้งหมดที่กล่าวว่าจะต้องทำตอนนี้คือการเข้ายึดระบบก่อนหน้านี้บางระบบ ( WHMCS ? SSH ก่อนหน้า) สร้างบันทึกบางส่วนด้วยความจริงครึ่ง เกิดขึ้น แต่บางสิ่งก็พิสูจน์ไม่ได้ตามเป้าหมาย) หวังว่าจะมีคน "กัด" สิ่งที่ต้องทำคือเอนทิตีที่ใหญ่กว่าเพื่อทำบางสิ่งที่รุนแรง (... HostGator ... ) เพื่อทำให้รุนแรงขึ้นเล็กน้อยท่ามกลางความกังวลและความสับสนที่เพิ่มขึ้น

เอนทิตีขนาดใหญ่จำนวนมากอาจย้อนกลับ แต่บางหน่วยอาจเพิ่งอัพเกรด ผู้ที่อัพเกรดตอนนี้เปิดการโจมตี zero-day ที่แท้จริงโดยยังไม่เปิดเผย

ฉันเห็นสิ่งแปลก ๆ เกิดขึ้น เหมือนคนดังกลุ่มหนึ่งที่กำลังจะตาย ...

เปลี่ยนเป็น Telnet หรือไม่ :)

ล้อเล่นกันถ้าคุณมีการกำหนดค่าไฟร์วอลล์ของคุณอย่างถูกต้องมันจะช่วยให้การเข้าถึง SSH ไปยังโฮสต์ไม่กี่แห่ง ดังนั้นคุณจึงปลอดภัย

การแก้ไขอย่างรวดเร็วอาจเป็นการติดตั้ง SSH จากแหล่งที่มา (ดาวน์โหลดจาก openssh.org) แทนที่จะใช้เวอร์ชั่นเก่าที่มีอยู่ในลีนุกซ์รุ่นล่าสุด