根据互联网风暴中心,似乎存在 SSH 零日漏洞。
这里有一些概念验证代码和一些参考:
- http://secer.org/hacktools/0day-openssh-remote-exploit.html
- http://isc.sans.org/diary.html?storyid=6742
这似乎是一个严重的问题,因此每个 Linux/Unix 系统管理员都应该小心。
如果这个问题没有及时修复,我们该如何保护自己?或者一般如何处理零日漏洞?
*我会在回复中发表我的建议。
答案1
Damien Miller(OpenSSH 开发人员)的评论:http://lwn.net/Articles/340483/
具体来说,我花了一些时间分析他提供的数据包跟踪,但它似乎由简单的暴力攻击组成。
所以,我根本不相信存在 0day。到目前为止,唯一的证据是一些匿名谣言和无法核实的入侵记录。
答案2
我的建议是,在防火墙上阻止除您的 IP 之外的所有人通过 SSH 访问。在 iptables 上:
/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP
答案3
根据 SANS 帖子,此漏洞does not work against current versions of SSH并非真正的 0day。修补您的服务器,您就没问题了。
答案4
供您参考,该故事的原始来源:http://romeo.copyandpaste.info/txt/ssanz-pwned.txt
还有两个类似的故事(黑客入侵 astalavista.com 和另一个网站):romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt
似乎有人有自己的目的:romeo.copyandpaste.info/(“保持 0day 漏洞的私密性”)