SSHサーバーのゼロデイ攻撃-自分自身を保護するための提案

Internet Storm Centerによると、SSHゼロデイエクスプロイトがそこにあるようです。

ここにいくつかの概念実証コードといくつかのリファレンスがあります：

• http://secer.org/hacktools/0day-openssh-remote-exploit.html
• http://isc.sans.org/diary.html?storyid=6742

これは深刻な問題と思われるため、すべてのLinux / Unixシステム管理者は注意する必要があります。

この問題が時間通りに修正されない場合、どうすれば自分を守ることができますか？または、一般的にゼロデイ攻撃をどのように処理しますか？

*提案を返信に掲載します。

Damien Miller（OpenSSH開発者）からのコメント：http : //lwn.net/Articles/340483/

特に、私は彼が提供したパケットトレースの分析に少し時間を費やしましたが、単純なブルートフォース攻撃で構成されているようです。

したがって、0dayが存在することをまったく追求していません。これまでの唯一の証拠は、匿名の噂と検証不可能な侵入記録です。

私の提案は、あなたのIP以外のすべての人へのファイアウォール上のSSHアクセスをブロックすることです。iptablesの場合：

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

したがって、SANSの投稿によると、このエクスプロイトはdoes not work against current versions of SSH、実際には0日ではありません。サーバーにパッチを適用すると、問題ないはずです。

ベンダーに文句を言う

そうすれば、誰もが新しいバージョンを入手できます。

参考までに、ストーリーの元のソース：http : //romeo.copyandpaste.info/txt/ssanz-pwned.txt

同様の2つのストーリー（astalavista.comと別のサイトのハッキング）もあります：romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

誰かがアジェンダを持っているようです：romeo.copyandpaste.info/（「0daysをプライベートに保つ」）

tcprulesを使用するようにSSHをコンパイルし、少数の許可ルールを使用して、他のすべてを拒否しています。

これにより、パスワードの試行がほぼ排除され、侵入試行に関するレポートが送信されたときに、それらを真剣に受け止めることができます。

ポート22でsshを実行しません。別のマシンからログインすることが多いため、iptablesを介したアクセスを防ぐのは好きではありません。

これは、 ゼロデイ攻撃確実にデフォルト構成の後になります。私のサーバーだけを侵害しようとしている人に対してはあまり効果的ではありません。ポートスキャンはsshを実行しているポートを示しますが、ランダムなSSHポートを攻撃するスクリプトはホストをスキップします。

ポートを変更するには、/ etc / ssh / sshd_configファイルでポートを追加/変更します。

私はファイアウォールで待ちます。私の直感は次の2つのうちの1つです。

A>デマ。これまでに与えられた少しのミス情報によって、これはどちらかです。

または...

B> 4.3を懸念する「煙と欺to」の試み。どうして？ハッカー組織の一部が、sshd 5.2で本当にクールなゼロデイエクスプロイトを見つけたらどうなるでしょう。

残念なことに、このバージョンは最先端のリリース（Fedora）にのみ組み込まれています。本番環境でこれを使用している実体はありません。RHEL / CentOSを十分に使用してください。大きなターゲット。RHEL / CentOSがすべてのセキュリティ修正をバックポートして、何らかの基本的なバージョン管理を維持することはよく知られています。この背後にあるチームはされてはいけません。RHELは、4.3で欠陥を見つけるためのすべての試みを使い果たしたことを投稿しました（リンクを掘り下げる必要があります）。言葉は軽んじてはいけません。

それでは、考えに戻りましょう。ハッカーは、何らかの理由で4.3をかき立てることを決定し、マスヒステリーがUGから5.2p1になります。私は尋ねます：あなたの何人がすでに持っていますか？

ミスディレクションの「証拠」を作成するには、すべての「グループ」は、以前に侵害されたシステム（WHMCS？以前のSSH？）を引き継ぎ、いくつかの半分の真実でログを作成する必要があります（攻撃者が検証した「何か」が発生しましたが、ターゲットによって検証できないものがあります）誰かが「噛む」ことを望んでいます。不安と混乱の高まりの中で、少し大きくするために、何か大胆な（... HostGator ...）ことをする1つの大きなエンティティです。

多くの大規模なエンティティはバックポートできますが、一部はアップグレードするだけです。アップグレードされたものは、現在のところまだ開示されていない真のゼロデイ攻撃にさらされています。

見知らぬことが起こるのを見てきました。たくさんの有名人が一斉に死にます...

Telnetに切り替えますか？:)

冗談はさておき、ファイアウォールが適切に設定されている場合、すでにいくつかのホストへのSSHアクセスのみが許可されています。あなたは安全です。

簡単な解決策は、最新のLinuxディストリビューションに存在する古いバージョンを使用する代わりに、ソースからSSHをインストールすることです（openssh.orgからダウンロードする）。