SSH服务器零日攻击 – 保护自己的build议

Damien Miller（OpenSSH开发者）的评论： http : //lwn.net/Articles/340483/

特别是，我花了一些时间分析他提供的数据包跟踪，但似乎是由简单的暴力攻击组成的。

所以，我并不追求一个0day存在。 目前唯一的证据是一些匿名的谣言和不可证实的入侵logging。

我的build议是阻止防火墙上的SSH访问给除你的IP以外的其他人。 在iptables上：

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 22 -j DROP 

根据SANS的post，这个漏洞does not work against current versions of SSH ，因此并不是真正的0day。 修补你的服务器，你应该没问题。

向你的供应商抱怨

这样每个人都可以获得更新的版本。

仅供参考，故事的原始来源： http ： //romeo.copyandpaste.info/txt/ssanz-pwned.txt

还有两个类似的故事（黑客astalavista.com和另一个网站）：romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

似乎有人有一个议程：romeo.copyandpaste.info/（“保持0天私人”）

我编译SSH使用tcprules，并有less量的允许规则，否认所有其他。

这也确保了密码尝试几乎被消除，并且当我发送关于中断尝试的报告时，我可以认真对待它们。

我不在端口22上运行ssh。由于我经常从不同的机器login，我不喜欢通过iptables来阻止访问。

这对于零日攻击来说是很好的保护 – 这肯定会在默认configuration之后进行。 对于那些试图破坏我的服务器的人来说效率不高。 端口扫描将显示我正在运行ssh的端口，但攻击随机SSH端口的脚本将跳过我的主机。

要更改端口，只需在/ etc / ssh / sshd_config文件中添加/修改端口即可。

我会防火墙，等待。 我的直觉是两件事之一：

A>恶作剧。 通过迄今为止提供的小小的信息，无论是这个..

要么…

B>这是一个“烟雾和欺骗”的企图，引起了4.3的关注。 为什么？ 如果你，一些黑客组织，在sshd 5.2中find一个非常酷的零日漏洞。

太糟糕了，只有先进的发行版（Fedora）join了这个版本。 没有实质性的实体在生产中使用它。 大量使用RHEL / CentOS。 大目标。 众所周知，RHEL / CentOS将其所有安全修补程序都恢复到原来的版本控制状态。 这背后的团队不会被打喷嚏。 RHEL已经发布（我读过，将不得不挖掘链接），他们已经用尽了所有试图find4.3中的任何缺陷。 不要掉以轻心。

所以，回到理念。 一个黑客决定引起一个4.3的骚动，造成UG的大规模歇斯底里5.2p1。 我问：你们有多less人？

为了创build一些“方向性certificate”，所有“说组”必须现在要做的是接pipe一些先前被攻破的系统（ WHMCS ？以前的SSH？），创build一些具有一些真实性的日志（攻击validation“某事”发生了一些事情，但有些事情是不能被目标validation的）希望有人会“咬”。 所有这一切都需要一个更大的实体做一些激进的事情（… HostGator …），使其变得更加严肃，在日益焦虑和困惑之中。

许多大型实体可能会后退，但有些可能只是升级。 那些升级，现在开放到真正的零日攻击，目前还没有透露。

我看到陌生的事情发生。 就像一群名人连续死亡一样

切换到Telnet？ 🙂

除了开玩笑，如果你的防火墙configuration正确，它已经只允许SSH访问less数主机。 所以你是安全的

快速修复可能是从源代码安装SSH（从openssh.org下载），而不是使用最新的Linux发行版中的旧版本。