13 votos

Andrea Zonca avatar

Servidor SSH zero-day exploit - Sugerencias para protegernos a nosotros mismos

Preguntado el 7 de Julio, 2009
Cuando se hizo la pregunta
5959 visitas
Cuantas visitas ha tenido la pregunta
5 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

De acuerdo a la Internet Centro de la Tormenta, parece ser un SSH zero-day exploit por ahí.

Hay algún código de prueba de concepto en el aquí y algunos de referencia:

Esto parece ser un problema grave, por lo que cada Linux/Unix administrador del sistema debe ser cuidadosa.

¿Cómo nos protegemos a nosotros mismos si este problema no está parcheado en el tiempo? O ¿cómo manejar las vulnerabilidades de día cero en general?

*Voy a publicar mi sugerencia de que en las respuestas.

Preguntado el 7 de Julio, 2009 por Andrea Zonca

Respuestas

¿Demasiados anuncios?

11voto

Andrea Zonca avatar
Andrea Zonca Puntos 126

Mi sugerencia es la de bloquear el acceso SSH en el servidor de seguridad para todos los demás, además de su ip. En iptables:

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP
Respondido el 7 de Julio, 2009 por Andrea Zonca (126 Puntos )

6voto

x-way avatar
x-way Puntos 196

Comentario de Damián Miller (OpenSSH desarrollador): http://lwn.net/Articles/340483/

En particular, me pasó algún tiempo en el análisis de una traza del paquete que ofrecía, pero parece para consistir en la simple ataques de fuerza bruta.

Así que, yo no soy pursuaded que un 0day que existe en absoluto. La única evidencia de manera ahora son algunos de los anónimos, los rumores y verificable a la intrusión de las transcripciones.

Respondido el 8 de Julio, 2009 por x-way (196 Puntos )

5voto

Dentrasi avatar
Dentrasi Puntos 2832

De acuerdo por lo que el SANS post, este exploit does not work against current versions of SSH, y por lo tanto no es realmente un 0day. Parche sus servidores, y usted debería estar bien.

Respondido el 7 de Julio, 2009 por Dentrasi (2832 Puntos )

3voto

Brad Gilbert avatar
Brad Gilbert Puntos 1110

Se quejan a sus proveedores

De esa manera todo el mundo obtiene la versión más reciente.

Respondido el 7 de Julio, 2009 por Brad Gilbert (1110 Puntos )

3voto

x-way avatar
x-way Puntos 196

FYI, la fuente original de la historia: http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

También hay dos historias similares (hacking astalavista.com y otro sitio): romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

Parece que alguien tiene un orden del día: romeo.copyandpaste.info/ ("Mantener la 0days privado")

Respondido el 8 de Julio, 2009 por x-way (196 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X