WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)
-   -   SSH Hacksessions (http://www.wcm.at/forum/showthread.php?t=44217)

Philipp 26.01.2002 01:38
SSH Hacksessions
 
Wer noch kein OpenSSH 3.x installiert hat sollte das jetzt nachholen, da OpenSSH wieder sehr beliebt bei den Hackern ist. Durch ein Sicherheitsloch in der älteren Version ist es möglich Root Rechte zu bekommen.

Ebenfalls sollte in ssh/sshd_config der Protocol Eintrag in "Protocol 2" geändert bzw. hinzugefügt werden.

Da es das ganze auch als Tool für den Hobbyhacker gibt wäre es auch nicht schlecht die SSH Port Adresse von 22 auf z.b. Port 8002 zu ändern um eventuelle Hackversuche auf Port 22 zu vermeiden.

Nach den Ändernungen muss der SSH demon mit /etc/rc.d/init.d/sshd restart (funktioniert zumindest auf RaQ3 und Red Hat 7.2) neu gestartet werden.

Philipp 26.01.2002 04:14
Eine Ergänzung zu:
Zitat:
Ebenfalls sollte in ssh/sshd_config der Protocol Eintrag in "Protocol 2" geändert bzw. hinzugefügt werden.
Der Zugang ist dann nur noch mit einen SSH2 kompatiblen Client möglich wie z.b. der neuesten Version von PuTTY (Windows)

mr. blub 26.01.2002 12:55
kleiner tip am rande


in der sshd config das "uselogin yes" auf "uselogin no" stellen


best regards
-andi

Sloter 26.01.2002 17:02
Das hast du hoffentlich vor 2 Monaten schon gemacht, denn so lange ist der Bug bekannt.

Sloter

Philipp 26.01.2002 18:22
Der Bug ist sogar noch älter, allerdings sind diesen Monat solche Hackversuche dramatisch angestiegen daher der Hinweis. Anscheiend gibt es ein passendes Tool das automatisch nach Server mit diesen exploit sucht.

Mein Server läuft übrigens schon seit Anfang Dezember mit OpenSSH 3.0.2 :)

Sloter 26.01.2002 18:32
Ja so ein Tool gibt es, schau schon 1 Woche zu wie immer alles abgescannt wird.

Sloter

Sloter 26.01.2002 18:40
So schaut das im Lock aus :)

Jan 12 20:58:51 transrapid sshd[4631]: Disconnecting: Corrupted check bytes on input.
Jan 12 20:58:52 transrapid sshd[4632]: Disconnecting: crc32 compensation attack: network attack detected
Jan 12 20:58:53 transrapid sshd[4633]: Disconnecting: crc32 compensation attack: network attack detected
Jan 12 20:58:54 transrapid sshd[4634]: Disconnecting: crc32 compensation attack: network attack detected
Jan 12 20:58:55 transrapid sshd[4635]: Disconnecting: crc32 compensation attack: network attack detected
Jan 12 20:58:56 transrapid sshd[4636]: Disconnecting: crc32 compensation attack: network attack detected

MoSKiTo 27.01.2002 16:45
Ich hab auch sowas :(

Jan 19 10:14:58 druckkistn sshd[11464]: Did not receive ident string from 216.18.75.69.
Jan 19 10:42:24 druckkistn sshd[11506]: Did not receive ident string from 216.18.75.69.
Jan 19 10:45:25 druckkistn sshd[11526]: Did not receive ident string from 212.143.219.87.
Jan 19 10:46:06 druckkistn sshd[11547]: Disconnecting: Corrupted check bytes on input.
Jan 19 10:46:07 druckkistn sshd[11548]: Disconnecting: Corrupted check bytes on input.

valo 27.01.2002 18:51
i habs auch :(


Alle Zeitangaben in WEZ +2. Es ist jetzt 09:35 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag