De acordo com o Centro de tempestades da Internet , parece haver uma exploração de dia zero do SSH por aí.
Há algum código de prova de conceito aqui e alguma referência:
Este parece ser um problema sério, portanto, todo administrador de sistemas Linux / Unix deve ter cuidado.
Como nos protegemos se esse problema não for corrigido no prazo? Ou como você lida com explorações de dia zero em geral?
* Vou postar minha sugestão nas respostas.
Comentário de Damien Miller (desenvolvedor do OpenSSH): link
In particular, I spent some time analysing a packet trace that he provided, but it seems to consist of simple brute-force attacks.
So, I'm not pursuaded that an 0day exists at all. The only evidence so far are some anonymous rumours and unverifiable intrusion transcripts.
Minha sugestão é bloquear o acesso SSH no firewall para todos os outros além do seu ip. No iptables:
/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP
De acordo com a postagem do SANS, essa exploração does not work against current versions of SSH e, portanto, não é realmente um 0day. Corrigir seus servidores, e você deve estar bem.
Dessa forma, todos recebem a versão mais recente.
FYI, a fonte original da história: link
Há também duas histórias semelhantes (hacking astalavista.com e outro site):
romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt
Parece que alguém tem uma agenda: romeo.copyandpaste.info/ ("Mantenha 0days privado")
Eu compilo o SSH para usar tcprules e tenho um pequeno número de regras de permissão, negando todas as outras.
Isso também garante que as tentativas de senha sejam praticamente eliminadas e que, quando eu recebo relatórios sobre tentativas de invasão, posso levá-las a sério.
Eu não executo o ssh na porta 22. Como geralmente faço login de máquinas diferentes, não gosto de impedir o acesso via iptables .
Esta é uma boa proteção contra ataques de dia zero - que certamente irão atrás da configuração padrão. É menos eficaz contra alguém que está tentando comprometer apenas o meu servidor. Uma varredura de porta mostrará em qual porta estou executando o ssh, mas um script que ataca portas SSH aleatórias irá ignorar meus hosts.
Para alterar sua porta, simplesmente adicione / modifique a Porta em seu arquivo / etc / ssh / sshd_config .
Eu faria firewall e esperaria. Meu instinto é uma das duas coisas:
A > Engano. Pelo pouco e falta de informação dada até agora, é ou isso ..
ou ...
B > Esta é uma tentativa de "fumaça e engano", para causar preocupação sobre 4.3. Por quê? E se você, alguma organização de hackers, encontrar um exploit de dia zero muito legal no sshd 5.2.
Pena que apenas versões de ponta (Fedora) incorporam esta versão. Nenhuma entidade substancial usa isso na produção. Muitos usam o RHEL / CentOS. Grandes alvos. É bem conhecido RHEL / CentOS backport todas as suas correções de segurança para manter algum tipo de controle de versão básica. As equipes por trás disso não devem ser desprezadas. RHEL postou (eu li, teria que desenterrar o link) que eles esgotaram todas as tentativas de encontrar qualquer falha no 4.3. Palavras para não ser tomada de ânimo leve.
Então, de volta à ideia. Um hacker decide, de alguma maneira, causar um rebuliço em torno de 4.3, causando uma histeria em massa na UG para 5.2p1. Eu pergunto: quantos de vocês já tem?
Para criar alguma "prova" para o desvio, tudo o que o "grupo disse" teria que fazer agora é assumir algum sistema anteriormente comprometido ( WHMCS Anterior SSH?), crie alguns logs com algumas meias-verdades (ataque-ee verificou que "alguma coisa" aconteceu, mas algumas coisas não podem ser verificadas pelo alvo) esperando que alguém "mordesse". Só é preciso uma entidade maior para fazer algo drástico (... HostGator ...) para torná-lo um pouco mais sério, em meio à crescente ansiedade e confusão.
Muitas entidades grandes podem retroceder, mas algumas podem apenas ser atualizadas. Aqueles que atualizam, agora se abrem para o verdadeiro ataque de dia-zero sem nenhuma divulgação até o momento.
Eu vi coisas estranhas acontecerem. Tipo, um monte de celebridades morrendo todas seguidas ...
Mude para o Telnet? :)
Brincadeiras à parte, se você tiver seu firewall configurado corretamente, ele já estará permitindo apenas o acesso SSH a alguns hosts. Então você está seguro.
Uma solução rápida pode ser instalar o SSH a partir da fonte (baixando-o do openssh.org), em vez de usar versões antigas que estão presentes nas distribuições mais recentes do Linux.