OpenSSH的bug让系统面临暴力破解攻击
OpenSSH软件被广泛用于远程访问计算机和服务器，通常情况下，OpenSSH在关闭连接前允许3次或6次登录尝试。但安全研究员KingCope的一个bug允许攻击者在登录窗口开放的2分钟内执行数千次身份验证请求。攻击者因此可以使用常用密码组合发动。暴力破解攻击是一种相当普遍的威胁，而新发现的漏洞让攻击更容易更有效，配置SSH的服务器应当限制登录尝试次数，或限制访问IP。
好文,顶一下
文章真差,踩一下
------分隔线----------------------------
把开源带在你的身边-精美linux小纪念品
初级应用->
高级应用-> |
编程开发->OpenSSH曝高危漏洞，Linux主机面临暴力破解威胁
OpenSSH软件被爆出一个简单却高危的漏洞，攻击者可以在短时间内进行数千次的登录尝试。
OpenSSH是最流行的Linux系统进行远程控制的软件。一般来说，软件允许3到6次的密码登陆尝试，然后就会关闭连接。但是这个新爆出的漏洞会允许攻击者执行大量的登录尝试。
一位网名KingCope的安全研究人员在博客中写道，对于使用键盘交互认证模式的OpenSSH服务器，包括FreeBSD Linux，黑客都可以实施暴力破解。
据知，大部分系统都默认开启了键盘交互认证模式，所以黑客可以大规模地利用这个漏洞。研究人员公布了POC代码，如下所示:
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print &pam,& x 10000'` targethost
这段简单的命令可以在登录窗口开放的2分钟内进行一万次的密码猜解。
&重要的是，如果攻击者对使用键盘交互认证模式的设备发起了1万次的交互请求，那么OpenSSH会执行这些请求，然后陷入一个接收口令的循环之中，直到超过设备的限制。&
而基于网络连接和受害Linux主机的情况，2分钟的时间和这几千次的密码猜解已经足够让攻击者使用常用密码字典成功破解密码了。
这个漏洞存在于最新版本的OpenSSH中，即6.9版。
在OpenSSH发布官方补丁之前，建议网站管理员们采取以下措施:
1.使用至少2,048位的密钥对用于登陆
2.使用强密码保护你的私钥
3.将登录窗口开放的宽限期(grace period)减少为20至30秒
4.使用Fail2Ban或Pam-Shield限制登陆尝试
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】coolerfeng 的BLOG
用户名：coolerfeng
文章数：243
评论数：657
访问量：1202813
注册日期：
阅读量：24883
阅读量：268210
阅读量：1002211
阅读量：150911
51CTO推荐博文
托管在IDC的机器我们通常都用SSH方式来远程管理.但是经常可以发现log-watch的日志中有大量试探登录的
信息,为了我们的主机安全,有必要想个方法来阻挡这些可恨的"HACKER"
有很多办法来阻挡这些密码尝试1 修改端口2 健壮的密码3 RSA公钥认证4 使用iptables脚本5 使用sshd日志过滤6 使用tcp_wrappers过滤7 使用knockd
1 vi /etc/ssh/sshd_config#Port 22默认端口为22,为了避免被扫描,去掉#,改成一个其他的端口,比如45632保存后重启sshd服务.service sshd restart
2没什么可说的,密码的复杂性可以增加破解的难度,大小写混合加上数字并且有足够的密码长度就比较安全
了,唯一的问题就是要牢记密码.
3.默认的登录方式是password,如果需要用RSA公钥登录,需要先创建RSA Key#ssh-keygen -t rsa -b 1024会生成私钥/home/username/.ssh/id_rsa同时生成公钥/home/username/.ssh/id_rsa.pub输入一个加密短语(也可省略)
修改sshd 设置,编辑/etc/ssh/sshd_config'PasswordAuthentication no'RSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile&&&&& .ssh/id_rsa.pub&将公钥下载到本地计算机,然后在ssh客户端软件Secure CRT中设置好,就可以登录了
4 iptbles脚本此脚本允许每分钟3个连接.有白名单,并有日志纪录
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set& --name SSHiptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELISTiptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update& --seconds 60 --
hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_forceiptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update& --seconds 60 --
hitcount 4 --rttl --name SSH -j DROPiptables的版本需要&1.2.11 (1.2不支持 --rttl参数)
5使用sshd日志过滤有几个软件(脚本)可以做到.sshfilter Fail2Ban& DenyHosts
需要sshd支持tcp_wrappers此功能.[root@as4test include]# ldd /usr/sbin/sshd | grep libwrap&&&&&&& libwrap.so.0 =& /usr/lib64/libwrap.so.0 (0x6c000)如果有libwrap.so.0这个库说明支持此功能另一种测试方法:在/etc/hosts.deny加入一行127.0.0.1然后ssh localhost,如果无法连接,说明支持.
$ tar zxvf DenyHosts-2.6.tar.gz&&&&&&
$ cd DenyHosts-2.6
# python setup.py install
#cd /usr/share/denyhost
# cp denyhosts.cfg-dist denyhosts.cfg配置文件&# cp daemon-control-dist daemon-control启动脚本# chown root daemon-control
# chmod 700 daemon-control
# cd /etc/init.d
# ln -s /usr/share/denyhosts/daemon-control denyhosts
# chkconfig --add denyhosts添加到开机启动服务中
6 使用tcp_wrappers过滤1 下载脚本2 设置可执行权限 chmod 755 /usr/local/bin/sshblock.sh3 在/etc/hosts.allow中添加以下内容#__START_SSHBLOCK__#__END_SSHBLOCK__sshd : ALL : spawn (/usr/local/bin/sshblock.sh %a)&设置&DONTBLOCK 白名单BURST_MAX=5BURST_TIM=6060秒内登录5次就封锁PURGE_TIM=36003600秒后解冻
7& 使用KNOCKDknockd 监视一个预定义模式在iptables的日志,例如一次击中端口6356,一次击中端口63356,两次击中端口
9356,这相当于敲一个关闭的门用一种特殊的暗码来被konckd识别,konckd 将使用iptables来打开一个预定
义端口例如ssh的22端口在一个预定定义时间.(比如一分钟),如果一个ssh session 在这个时间范围内打开,
这个端口会一直保留.直到预定义时间过期后ssh端口被knockd关掉.
缺点:比较复杂的方案,不适合普通人需要客户端(knockd-client)来实现port knocking",同时需要knockd-server来响应.实际上,很容易检测到这种通讯模式,一旦攻击者可以监控你的通讯,这种解决方案无法提供安全防护针对本
&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
21:55:29 17:26:13当前位置： && 资讯详情
OpenSSH服务存在漏洞 允许进行无限次口令猜测
来源：360安全播报
阅读：10978次
只能有6次尝试密码的机会？如果给你1万次机会呢？OpenSSH存在一个漏洞，这个漏洞可以允许攻击者绕过单次登录密码输入尝试的错误限制次数。默认情况下，加密服务只能允许用户进行6次密码输入尝试，如果输入的6次密码均不正确，那么用户就要在链接断开之前等待一个时长为2分钟的宽限期，这样就可以防止攻击者的暴力破解攻击了。但是，这种防御机制也可以被轻易地绕过。一名使用了工具的黑客声称，OpenSSH是可以被控制和修改的，在使用键盘输入登陆口令时，黑客可以根据需要来设置密码输入次数的上限。这也就意味着，攻击者可以自行编写一个脚本，然后进行上千次的密码尝试，与此同时也不会受到服务器的任何限制；这将会使该漏洞的威胁程度进一步提升，任何人都有可能成功猜测出账户的密码，并得到一个受保护的系统中的数据，这一切也只是时间问题而已。KingCope所提供的漏洞利用的概念验证就是下面这段简单的参数传递代码，它看起来更像是一种特殊的功能，而不是一个漏洞：ssh&-lusername&-oKbdInteractiveDevices=`perl&-e&'print&&pam,&&x&10000'`&targethost这周，KingCope在一封邮件中对这个漏洞进行了完整的披露，他在邮件中道：“这个方法是非常有效的，它可以允许我们在一个登录周期内进行1万次的密码输入尝试。”他还补充说到：“现在最重要的地方就是，如果一个攻击者对一个键盘交互设备发起了1万次的交互请求，那么OpenSSH将会执行这些请求，而且将会陷入一个接收输入口令的循环之中，直到超过设备的特定限制才会停止处理。”最新版本的OpenSSH也存在这个漏洞。但是，那些使用唯一的加密密钥来进行身份验证的程序和设备并不会受到这个漏洞的影响，因为这个漏洞只会影响那些采用键盘来输入口令的程序和设备。理论上来说，那些运行了fail2ban或者pam-shield的计算机管理员是不会受到这个漏洞的影响的，因为登录失败的事件是可以被检测到的，而进行了暴力破解的IP地址也会被服务器禁止访问。你也可以选择将宽限期降至20或30秒，对于这个漏洞来说，这同样也是一种行之有效的缓解方式。
本文由 360安全播报 翻译，转载请注明“转自360安全播报”，并附上链接。
参与讨论，请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]二次元同好交流新大陆
扫码下载App
汇聚2000万达人的兴趣社区下载即送20张免费照片冲印
扫码下载App
温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
Spend everyday as my last day!
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(4768)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'SAM暴力破解 暴力破解管理员Administrator密码',
blogAbstract:' &&&&&
遗忘了Windows系统管理员登录密码怎么办？入侵了一台主机，想拿到对方的管理员密码怎么办？这时候我们往往会用到一些Windows系统密码破解软件，比如大名鼎鼎的LC5就可以在很短的时间内，从各种格式的密码文档破解还原出Windows系统用户密码来。不过魔高一尺，道高一丈，自从许多Windows系统用户采用了系统中更为安全的SYSKEY加密方式保护登录密码后，LC这样的工具也无能为力了。有没有什么办法破解经过SYSKEY加密的Windows密码呢？ 密码破解新星Saminside &&&&&&&&&&
面对经过SYSKEY加密的SAM文件，我们真的无能为力吗？密码破解新星Saminsi',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:9,
permalink:'blog/static/',
commentCount:2,
mainCommentCount:2,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:true,
hostIntro:'Spend everyday as my last day!',
hmcon:'1',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}}