про SSH все читали?

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

про SSH все читали?

Сообщение art » 18 сен 2003, 06:49

Определенности, как и эксплоита пока нет. FreeBSD патч вначале опубликовали, потом сняли, а теперь новая формулировка дыры.
(см. http://www.openssh.com/)

Ещё 15-го закрыл на всех серверах москвы и питера 22 порт, оставил только для своих.

И, знаете, оказалось что туда стучатся!
Не уверен за цифры, но, по сравнению с попытками перебора - раза в два чаще - 10-15 попыток в день против 5-6...

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 18 сен 2003, 18:04

:lol: неплохо сначала разобраться с сутью вопроса,
а потом уж и двери закалачивать наглухо.

Я не нашёл по указанному линку описания уязвимости которая так беспокоит вас, если это та самая уязвимость методом компенсации
версии OpenSSH_2.9.9p2 дык она предсказана пол года назад, и кроме того уязвим лишь FreeBSD причём только при использовании механизма SKEY.

А все нормальные перцы уже давно 3.7 юзают, да и firewall подруливают для доступа лишь с определённых ip ;)

Так что паника излишне

Эксплоитов на эту дырку в "детском/свободном" пока не выкладывают.
Чтобы вы представляли уровень подготовки хакера для такого взлома:
из 23000 "хакеров" проходивших тестирование на http://quiz.ngsec.biz по этой дырке смогли войти в систему лишь 20 человек.
:wink: А людям с таким опытом вряд ли будет интересно ломать вас.

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Re: про SSH все читали?

Сообщение setar » 18 сен 2003, 18:06

art писал(а):И, знаете, оказалось что туда стучатся!
Не уверен за цифры, но, по сравнению с попытками перебора - раза в два чаще - 10-15 попыток в день против 5-6...
Атака методом компенсации не оставляет login логов, если вы конечно не логите весь сетевой трафик

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 18 сен 2003, 18:18

Нашёл я первоисточник, вот http://www.kb.cert.org/vuls/id/333628
:roll: в данный момент я проверяю эту уязвимость, о результатах сообщу.

Ещё раз напомню - написать exploid самому, зная уязвимость это высший пилотаж, таких хакеров мало, и детством они как правило не страдают

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

предпочитаю действовать по биржевому принципу (+)

Сообщение art » 18 сен 2003, 19:55

предпочитаю действовать по биржевому принципу - покупать на слухах, продавать на повышении.

То что эксплоита нет, это не значит, что меры не следует предпринимать.
____
я сравнивал обычное число попыток обратится 22 порту (сессия открыта, пароль ошибочный) с левых адресов и количество стуков в firewall теперь. IPFW регистрирует все попытки.

налицо повышенная активность.
Последний раз редактировалось art 18 сен 2003, 19:57, всего редактировалось 1 раз.

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 18 сен 2003, 19:57

согласен, звоночек стрёмный.

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

угу (+)

Сообщение art » 18 сен 2003, 20:24

в том то и дело, что боязно за удаленные сервера.
В Москве два офиса, в которых только девушки работают.

Если сравнить степень риска и силу облома, если придется ехать в столицу, то все что угодно сделаешь...

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»