Автор Тема: ssh атаки  (Прочетена 15465 пъти)

h7d8

  • Напреднали
  • *****
  • Публикации: 197
  • Distribution: Debian;Ubuntu
  • Window Manager: Gnome
    • Профил
Re: ssh атаки
« Отговор #15 -: Feb 17, 2009, 14:39 »
Не съм чак толкова параноичен и не прилагам много от крайностите ,които могат да се реализират.  ;) С оглед на моите нужди и взето главно под внимание удобство/неудобство ето как процедирах с моята машина.

1. смяна на порта на ssh демон-а
2. забрана на руут потребител
3. забрана на протокол версия 1 ,оставих само версия 2
4. лимитиране на броя грешни опити
5. времето за дропване на адреси при грешен опит го увеличих
6. добавих в hosts.deny всички досегашни атаки събрани от логовете
7. описах само потребителите ,които съществуват
8. в hosts.allow добавих правило което пише в лог кой е  допуснат ( не че го няма другаде,но едно малко логче не е излишно )

Тук със сигурност няма да откриете 100% защита ,но би затроднило този ,който иска да направи мизерия.Съгласен съм с @por4e2 ,че колкото повече излишни приложения се добавят толкова повече дупки се отварят.  ;D
Активен

ilian_BIOS

  • Напреднали
  • *****
  • Публикации: 602
  • Distribution: opensuse
  • Window Manager: kde
    • Профил
Re: ssh атаки
« Отговор #16 -: Feb 17, 2009, 14:57 »
Цитат
...това е се едно да влизаш с ХП файъруола в нет

и какво става?  :)
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: ssh атаки
« Отговор #17 -: Feb 17, 2009, 15:23 »
А, да, има го този малоумен проблем (не е свързано толкова с темата), който касае използването на двете версии на протокола.

Значи когато се опитваш да установяваш ssh връзка се прави обмяна на подържаните версии на протокола. Принципно ако и двете страни подържат 2, тогава се осъществява sshv2 връзка.

Сега съвсем теоретично, ако можеш по някакъв начин да се направиш на сървъра, с който се свръзва жертвата на злата хахорска атака (примерно ако си в един етернет сегмент можеш да мацаш АРП кешове, да си преправяш мак адреса и тем подобни магарии....ако не - тогава може би си имаш опцията да цапаш DNS кешове, което е по-слабо вероятно, но пак би могло да успее), тогава ти можеш да си стартираш твой си сървър, който може да приема единствено sshv1 връзки и който е пач-нат по начин, по който лог-ва въведените пароли.

И какво от това? Ами понеже повечето сървъри и клиенти подържат и версия 1 и версия 2 или само 2, то има голяма вероятност жертвата никога досега да не е установявала връзка до машината по sshv1. Което значи, че ако успееш да се направиш на тази машина по някой от гореописаните методи, тогава ще стане следното:

жертвата (клиент), подържа версия 1 и 2
машината (*фалшив* сървър), подържа само версия 1
=> negotiate-ва се ssh сесия, която използва версия 1 на протокола.

Е кво от това? Ами просто ssh клиента на жертвата ще каже "приемате ли ключа на еди кой си хост..." вместо да изкара онова грозно съобщение от сорта на ВНИМАНИЕ! КЛЮЧЪТ Е ПОДМЕНЕН! ВЪЗМОЖНО Е НЯКОЙ ДА ПРАВИ НЯКАКВА ГАДОСТ! и връзката да бъде прекратена.

При което жертвата си въвежда потребителското име и парола, злият хахор ги събира и после се лог-ва с тях на машината.

Доста малоумно и си работеше последният път като го пробвах (преди 2-3 години), твърде вероятно и още да работи, защото това не е бъг, а feature :)

Затова не само на машините, които се защитават срещу брутфорс атаки, ами и на машината, от която се връзваш на тях, е добра идея идея да попромениш леко конфигурацията на ssh.

Редактираш ssh_config, слагаш  Protocol 2 и такам :)

Може да звучи малко параноично, но всъщност въобще не е сложно да се изработи подобен сценарии, поне аз не видях много зор когато се опитвах да го проиграя :)
« Последна редакция: Feb 17, 2009, 15:27 от gat3way »
Активен

"Knowledge is power" - France is Bacon

tarator

  • Напреднали
  • *****
  • Публикации: 849
    • Профил
Re: ssh атаки
« Отговор #18 -: Feb 17, 2009, 16:16 »
Ето пък как процедирах аз като видях подобни неща в лога:

1. Преместих си го от единия крачол в другия.
2. Продължих да използвам добри пароли.

:)
Активен

A gentleman is one who is never rude unintentionally. - Noel Coward

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Re: ssh атаки
« Отговор #19 -: Feb 17, 2009, 17:54 »
Порче, мене ми се вижда малко малоумно да chroot-ваш ssh демона :)

Тва е...ъъъъм все едно да си инсталираш една клетка в антрето, така че когато някой разбие входната врата, да не може да ти ходи по стаите. Лошото е и че ти когато си я отключиш, също ще се озовеш в клетката и няма да си стигнеш до дневната например :)
Тва къде съм го писал? Прочети ми мнението пак. :) Явно като си чупил френски сайтове, админите не са сложили jail тук там. Идеята е като черните дупки дето ловят зомбита и скрипткидита в нета. ;) Има една жълта книга с трезор отвън и пише - unix security, там го пише как се прави тоя номер, къв chroot() на демони, кви 5 лева?
Активен

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Re: ssh атаки
« Отговор #20 -: Feb 17, 2009, 17:56 »
Ето пък как процедирах аз като видях подобни неща в лога:

1. Преместих си го от единия крачол в другия.
2. Продължих да използвам добри пароли.

:)
Програмистите никога не са били особено умни, като такъв май не правиш изключение ;) Добри пароли няма.
Активен

h7d8

  • Напреднали
  • *****
  • Публикации: 197
  • Distribution: Debian;Ubuntu
  • Window Manager: Gnome
    • Профил
Re: ssh атаки
« Отговор #21 -: Feb 17, 2009, 17:59 »
Ето пък как процедирах аз като видях подобни неща в лога:

2. Продължих да използвам добри пароли.

:)

Можеби най-важното нещо е това.Да си сложиш добра парола ,която да държи фронт-а.

Относно обяснението на @gat3way за версия 1 и 2 на протокола ,съгласен съм.Като цяло версия 1 е остаряла и несигурна в наш плюс е работната версия да бъде 2.  [_]3
Активен

tarator

  • Напреднали
  • *****
  • Публикации: 849
    • Профил
Re: ssh атаки
« Отговор #22 -: Feb 17, 2009, 18:00 »
Гениалното порче се показа от дупката си и се из....каза :)
Активен

A gentleman is one who is never rude unintentionally. - Noel Coward

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Re: ssh атаки
« Отговор #23 -: Feb 17, 2009, 18:05 »
Гениалното порче се показа от дупката си и се из....каза :)
Няма да се надспамвам с теб сега, но всичко което пишеш на клавиатурата може да се прихване, оттам нататък, ако искаш си напиши паролата с 300 знака на китайска клавиатура.
Помпай си драйверите за кърнъла и не се бутай ;)
Активен

tarator

  • Напреднали
  • *****
  • Публикации: 849
    • Профил
Re: ssh атаки
« Отговор #24 -: Feb 17, 2009, 18:06 »
Ако всичко, което пиша от клавиатурата може да се прихване, не мислиш ли, че и всичко което го има на диска не може да се прочете? Или ти просто не мислиш? :)
Активен

A gentleman is one who is never rude unintentionally. - Noel Coward

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Re: ssh атаки
« Отговор #25 -: Feb 17, 2009, 18:08 »
Ако всичко, което пиша от клавиатурата може да се прихване, не мислиш ли, че и всичко което го има на диска не може да се прочете? Или ти просто не мислиш? :)
Това са две коренно различни неща. Стига си флудил темата с неща, които не са ти ясни.
Активен

tarator

  • Напреднали
  • *****
  • Публикации: 849
    • Профил
Re: ssh атаки
« Отговор #26 -: Feb 17, 2009, 18:11 »
Какво им е коренно различното? :) Може да имаш програма, която прихваща клавиатурата, но не може да чете от диска? Забавно е колко отчайващо неграмотен си :)
Активен

A gentleman is one who is never rude unintentionally. - Noel Coward

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: ssh атаки
« Отговор #27 -: Feb 17, 2009, 18:21 »
А, аз видях нещо за jail-ване и за ssh и така. Иначе може бе, ако sshd-то ползва privilege separation може дори индивидуални потребители да се chroot-ват, scponlyc е пример за което. Ама това няма да реши проблема като цяло, в смисъл за да е ползваема системата трябва да има акаунти, които да са си наред, пък тези акаунти може да си се атакуват. Може и цяла система да си dedicate-неш и да гледаш кво правят лошите по нея, там honeypot помодерно му. Едно време нали правех една  хахорска игра, тя дефакто си е  подобна работа, ма кво от това, аз не съм я правил с цел да ставам по-сигурен така или иначе :)

Мене ми е интересно въобще това защо се приема като някакъв особен проблем. Силно убеден съм че има много повече, много по-сериозни проблеми от това. Това си се решава много просто - правиш си достатъчно сложни пароли и не ги използваш на друго място. Всичко останало според мен е някакъв overkill.

Хм, а и жълтурите бълват евтино и сега е евтино и дисковото пространство, и паметта, и процесорите, но най-вече дисковото пространство. От друга страна, виртуализацията е нещо много достъпно в последно време. Имам една теория че в скоро време в немалко случаи ще бъде по-оправдано просто да връщаш малко по-стар бекъп на целия имидж на виртуалната машина, отколкото по цял ден да се занимаваш да параноясваш, орязваш, ъпдейтваш на секундата и да си трошиш и времето и нервите. Ако стане проблем, имаш нормален, имаш и хакнат имидж. Палиш нормалния и гледаш по хакнатия какво се е строшило, за да вземеш мерки.

Примерно сега нали хоствам поредната малоумна хахорска игра, в която има оставена пролука, водеща до руут достъп. Съответно не му пречи и dd if=/dev/zero of=/dev/hda да си спретнеш ако имаш права. Времето, за което мога да вдигна пак същата система в състоянието й отпреди един ден назад ми е по-малко от минута (стига да го видя навреме разбира се :) ). Е, сигурно бая псувни ще тегля покрай това.

При това положение не знам защо трябва да издребнявам и да се чудя в какви параноични настроения да изпадам, няма смисъл :)
« Последна редакция: Feb 17, 2009, 18:32 от gat3way »
Активен

"Knowledge is power" - France is Bacon

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Re: ssh атаки
« Отговор #28 -: Feb 17, 2009, 19:59 »
А, аз видях нещо за jail-ване и за ssh и така. Иначе може бе, ако sshd-то ползва privilege separation може дори индивидуални потребители да се chroot-ват, scponlyc е пример за което. Ама това няма да реши проблема като цяло, в смисъл за да е ползваема системата трябва да има акаунти, които да са си наред, пък тези акаунти може да си се атакуват. Може и цяла система да си dedicate-неш и да гледаш кво правят лошите по нея, там honeypot помодерно му.
Точно, въпреки че honeypot е за мен друго.

Цитат
Хм, а и жълтурите бълват евтино и сега е евтино и дисковото пространство, и паметта, и процесорите, но най-вече дисковото пространство. От друга страна, виртуализацията е нещо много достъпно в последно време.
За съжаление, и това е резултатът - кур дуо на всеки метър :( После бозата не върви, линукса не разпознава, стана мазало, а всъщност хардуера е скапан, но евтин и рулираме с памети и процесори на НЛО от 60те ;)
Цитат
Имам една теория че в скоро време в немалко случаи ще бъде по-оправдано просто да връщаш малко по-стар бекъп на целия имидж на виртуалната машина, отколкото по цял ден да се занимаваш да параноясваш, орязваш, ъпдейтваш на секундата и да си трошиш и времето и нервите. Ако стане проблем, имаш нормален, имаш и хакнат имидж. Палиш нормалния и гледаш по хакнатия какво се е строшило, за да вземеш мерки.
Сега ми кажи на колко време си рестартираш сървърите и ще задам въпроса с шоколадчето - много хора се подвеждат от тази виртулизация. Едва ли някой иска да ти чупи машината, стига му да си сложи един руткит, а че ще изчезне след 2 месеца като рестартираш имиджа, на кой му пука? ;) Има една презентация на jrutkowska, гледай я, ще си промениш мнението. Тая голяма свиркаджийка май... ;D
Цитат
Примерно сега нали хоствам поредната малоумна хахорска игра, в която има оставена пролука, водеща до руут достъп. Съответно не му пречи и dd if=/dev/zero of=/dev/hda да си спретнеш ако имаш права. Времето, за което мога да вдигна пак същата система в състоянието й отпреди един ден назад ми е по-малко от минута (стига да го видя навреме разбира се :) ). Е, сигурно бая псувни ще тегля покрай това.
Стига да си повярваш, че някой ще си играе да ти трие харда или да ти прави мизерии.

Цитат
При това положение не знам защо трябва да издребнявам и да се чудя в какви параноични настроения да изпадам, няма смисъл :)
Естествено че не, щом за теб всичко опира до триене на харда, едва ли ще усетиш че някой се е възползвал от теб. Говоря по принцип, а не точно за теб.
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: ssh атаки
« Отговор #29 -: Feb 17, 2009, 22:24 »
Значи това може да се автоматизира. Редхат примерно сега разработват една идея, която много ми допада, която се нарича "stateless linux". Това в общи линии са едни готово приготвени имиджи с линукс и някакъв софтуер, които се деплойват където трябва за отрицателно време. Има там някакви механизми за автентикация, един ldap сървър, който пази глупости, свързани с цялата тарапана, как и да е. Това в комбинация с виртуализацията има голямо бъдеще според мен.

Мисълта ми е че в близкото бъдеще, когато имаш повече системи и не ти се хаби време да пачваш и ъпдейтваш индивидуално, просто правиш една промяна по имиджа, която да ти пасва на идеите и целите. После просто палиш наново виртуалните машини с този имидж. Ето ти ъпдейтната, нова система и софтуер за нея, които ти вършат работа.

Сигурно е грубо и сигурно позволява гранични случаи, обаче в общият случай върши работа (върши работа в общия случай и за този дето дава парите за тарапаната).

А иначе да, възможни са гранични случаи, примерно не всички биха занулили блоковите устройства и не всички биха се разписали в някой индексен файл на уеб сървъра, все някой ще захитрее. Обаче за такива неща и преди не е имало гаранция. Просто сега щетите евентуално се оправят по-лесно.
Активен

"Knowledge is power" - France is Bacon