SSHサーバーのゼロデイエクスプロイト-自分自身を保護するための提案

私の提案は、ファイアウォール上のSSHアクセスを、IP以外のすべてのユーザーに対してブロックすることです。 iptablesの場合：

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

SANSの投稿によると、このエクスプロイトはdoes not work against current versions of SSH、したがって、実際にはゼロデイではありません。サーバーにパッチを当てれば、大丈夫です。

ストーリーの元の情報源： http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

同様の2つのストーリーがあります（astalavista.comと別のサイトをハッキング）：romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

誰かが議題を持っているようです：romeo.copyandpaste.info/（ "Keep 0days private"）

ベンダーに不満を言う

そうすれば、誰もが新しいバージョンを入手できます。

ファイアウォールで待機します。私の直感は次の2つのうちの1つです。

A>デマ。これまでに出された少しのミス情報で、これか。

または...

B>これは4.3を懸念する「煙と欺瞞」の試みです。どうして？ハッカー組織の一部が、sshd 5.2で本当にクールなゼロデイエクスプロイトを見つけたらどうなるでしょう。

最先端のリリース（Fedora）だけがこのバージョンを組み込んでいるのは残念です。実務でこれを使用する実質的なエンティティはありません。 RHEL/CentOSを十分に使用します。大きなターゲット。これは、RHEL/CentOSのセキュリティ修正のすべてをバックポートして、何らかの基本的なバージョン管理を維持することで知られています。この背後にあるチームはくしゃみをしてはいけません。 RHELは、4.3で欠陥を見つけるためのすべての試みを使い果たしたと投稿しました（私は読んだ、リンクを掘る必要があるでしょう）。ノーという言葉は軽く受け取られる。

だから、アイデアに戻ります。ハッカーはなんとかして4.3をかき混ぜることに決め、マスヒステリーをUGから5.2p1にしました。私は尋ねます：あなたはすでに何人持っていますか？

ミスダイレクションの「証拠」を作成するには、すべての「言ったグループ」が以前に侵害されたシステムを引き継ぐ必要があります（ [〜＃〜] whmcs [〜＃〜] ？以前のSSH？） 、誰かが「噛み付く」ことを期待して、いくつかの半真実（攻撃者は「何か」が確認されたものの、ターゲットによっては確認できないものがある）を含むログを作成します。不安と混乱が高まる中、もう1つ大きなエンティティ（... HostGator ...）を実行して、もう少し深刻なものにするだけです。

多くの大規模なエンティティはバックポートする場合がありますが、一部はアップグレードするだけです。アップグレードしたものは、今のところ公開されていない実際のゼロデイ攻撃にさらされています。

奇妙なことが起こるのを見てきました。たくさんのセレブが次々と死んでいくように...

私はポート22でsshを実行しません。別のマシンからログインすることが多いため、 iptables でアクセスを禁止したくありません。

これは zero-day attack -に対する適切な保護です。これは、デフォルトの構成の後に必ず実行されます。私のサーバーだけに危害を加えようとしている人に対しては効果がありません。ポートスキャンでは、sshを実行しているポートが表示されますが、ランダムなSSHポートを攻撃するスクリプトによってホストがスキップされます。

ポートを変更するには、/ etc/ssh/sshd_configファイルにPortを追加/変更します。

Telnetに切り替えますか？ :)

冗談はさておき、ファイアウォールが適切に構成されている場合、ファイアウォールはすでにいくつかのホストへのSSHアクセスのみを許可しています。安全です。

最新のLinuxディストリビューションに存在する古いバージョンを使用する代わりに、ソースからSSHをインストールする（openssh.orgからダウンロードする）ことが簡単な修正になる場合があります。