utok pres ssh

Karel Zak zakkr na zf.jcu.cz
Středa Leden 16 12:27:49 CET 2002


On Wed, Jan 16, 2002 at 11:42:27AM +0100, Pavel Kankovsky wrote:
> On Wed, 16 Jan 2002, Ing. Pavel PaJaSoft Janousek wrote:
> 
> > odhalit verzi SSH daemona na strane serveru... - je zajimave, ze
> > diskutovany problem s CRC32 se tyka ssh az do verze 1.2.31 (vcetne), ja
> > jsem behal 1.2.30 a vyhli se mi obloukem... - zrejme se jedna jeste o
> > dalsi chybu, kterou vyuzivaji nastroje, ale chyba neni oficialne
> > popsana, jinak si nedovedu predstavit, proc by se zrovna na 1.2.27 meli
> > zastavit... Vi nekdo vice? (stravil jsem nad problematikou 3 dny,
> > nacerpal spoustu informaci, ale tohle jsem nenasel)
> 
> Skutecne zneuziti te chyby vyzaduje znalosti asi 4 az 5 konstant, ktere
> zavisi na pouzite verzi sshd, zpusobu, jakym je zkompilovana, dost mozna
> i na verzi (g)libc, na fazi Mesice a dalsich podobnych parametrech.
> Viz http://www.securityfocus.com/archive/1/164133.
> 
> Bohuzel jsem jeste zadny z pouzitych exploitu do ruky nedostal (krome
> toho vyse odkazovaneho generickeho), ale z toho, co jsem slysel, je to
> v podstate genericky exploit + vetsi ci mensi mnozina znamych konstant
> pro konkretni verze a platformy + udaje v chytrejsich verzich i neco, co
> umoznuje presne hodnoty dohledat hrubou silou.
> 
> Cili pokud ma nekdo deravou verzi (ktera je utocnikum pristupna) a presto
> unikne napadeni, pak je to nejspis z toho duvodu, ze utocnik nevedel, jak
> na to.

 Mohu potvrdit. Viz starsi log:

Dec 21 02:11:26 xxxx sshd[3297]: log: Connection from 195.211.161.113 port 4493
Dec 21 02:11:27 xxxx sshd[3297]: fatal: Local: Corrupted check bytes on input.
Dec 21 02:11:27 xxxx sshd[3298]: connect from ssl.gigabell.net
Dec 21 02:11:27 xxxx sshd[3298]: log: Connection from 195.211.161.113 port 4494
Dec 21 02:11:27 xxxx sshd[3299]: connect from ssl.gigabell.net
Dec 21 02:11:27 xxxx sshd[3299]: log: Connection from 195.211.161.113 port 4495
Dec 21 02:11:28 xxxx sshd[3299]: fatal: Local: Corrupted check bytes on input.
Dec 21 02:11:28 xxxx sshd[3300]: connect from ssl.gigabell.net

 a o kus dale pak primo snaha o CRC32:

Dec 21 02:12:36 xxxx sshd[3347]: fatal: Local: crc32 compensation attack: network attack detected

 ... mimo jine tento stroj nevydrzel :-)

 Ted po vanocich zacalo byt to scannovani na ssh dost masivni.

        Karel
-- 
 Karel Zak  <zakkr na zf.jcu.cz>
 http://home.zf.jcu.cz/~zakkr/
 
 C, PostgreSQL, PHP, WWW, http://docs.linux.cz, http://mape.jcu.cz


Další informace o konferenci Linux