根据Internet Storm Center的说法,那里似乎存在 SSH 零日漏洞。
这里有一些概念验证代码和一些参考:
- http://secer.org/hacktools/0day-openssh-remote-exploit.html
- http://isc.sans.org/diary.html?storyid=6742
这似乎是一个严重的问题,因此每个 Linux/Unix 系统管理员都应该小心。
如果这个问题没有及时修复,我们如何保护自己?或者你如何处理一般的零日攻击?
*我会在回复中发表我的建议。
我的建议是阻止防火墙上的 SSH 访问除您的 ip 之外的其他所有人。在 iptables 上:
Damien Miller(OpenSSH 开发人员)的评论:http: //lwn.net/Articles/340483/
根据 SANS 的帖子,这个漏洞利用
does not work against current versions of SSH,因此并不是真正的 0day。修补你的服务器,你应该没问题。向您的供应商投诉
这样每个人都可以获得更新的版本。
我不在端口 22 上运行 ssh。由于我经常从不同的机器登录,我不喜欢阻止通过iptables访问。
这是对零日攻击的良好保护——这肯定会在默认配置之后进行。对于试图破坏我的服务器的人来说,它的效果较差。端口扫描会显示我在哪个端口上运行 ssh,但攻击随机 SSH 端口的脚本会跳过我的主机。
要更改您的端口,只需在/etc/ssh/sshd_config文件中添加/修改端口。
仅供参考,故事的原始来源:http ://romeo.copyandpaste.info/txt/ssanz-pwned.txt
还有两个类似的故事(黑客攻击 astalavista.com 和另一个网站):romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt
似乎有人有一个议程:romeo.copyandpaste.info/(“保持 0days 私密”)
我会防火墙并等待。我的直觉是两件事之一:
A> 骗局。根据迄今为止给出的少量信息和错误信息,要么是这个..
或者...
B> 这是一次“冒烟和欺骗”的企图,引起对4.3的关注。为什么?如果您,某个黑客组织,在 sshd 5.2 中发现了一个非常酷的零日漏洞利用会怎样。
太糟糕了,只有最前沿的版本(Fedora)才包含这个版本。没有实质性实体在生产中使用它。大量使用 RHEL/CentOS。大目标。众所周知,RHEL / CentOS 向后移植了他们所有的安全修复程序,以保留某种基本的版本控制。这背后的团队不容小觑。RHEL 已经发布(我读过,必须挖掘链接)他们已经用尽所有尝试来寻找 4.3 中的任何缺陷。不能掉以轻心的话。
所以,回到想法。一名黑客决定以某种方式在 4.3 左右引起轰动,导致 UG 到 5.2p1 的大规模歇斯底里。我问:你们有多少人已经有了?
要为错误方向创建一些“证据”,所有“所说的组”现在要做的就是接管一些以前被破坏的系统(WHMCS?以前的 SSH?),创建一些带有一些半真半假的日志(attack-ee 验证的“某事”发生了,但有些事情无法通过目标来验证)希望有人会“咬”。在越来越多的焦虑和困惑中,只需要一个更大的实体来做一些激烈的事情(...HostGator...),让它变得更加严肃。
许多大型实体可能会向后移植,但有些可能只是升级。那些升级的,现在对真正的零日攻击开放,目前还没有披露。
我见过奇怪的事情发生。就像,一群名人连续死去......
我编译 SSH 以使用 tcprules,并有少量允许规则,拒绝所有其他规则。
这也确保了密码尝试几乎被消除,并且当我收到有关入侵尝试的报告时,我可以认真对待它们。
切换到 Telnet?:)
开个玩笑,如果您正确配置了防火墙,它已经只允许 SSH 访问少数主机。所以你是安全的。
快速修复可能是从源安装 SSH(从 openssh.org 下载),而不是使用最新 Linux 发行版中存在的旧版本。