Re: habitudes ssh (was Re: [FRnOG] Faille OpenSSH?)

[David Amiel]

>> - utiliser un VPN pour travailler depuis le monde
>
> Là aussi, le VPN augmente peut être un peu la sécurité, mais à quel prix
> ?
> Difficile de se connecter rapidement le jour où tout est planté, dans un
> cyber-café, depuis un téléphone 3G, ...

Un VPN SSL (du genre ADITO) simplifie pas mal les choses conçernant
l'utilisation au quotidien

++

David

> --
> Xavier Nicollet
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: habitudes ssh (was Re: [FRnOG] Faille OpenSSH?)

[Jerome Athias]

OpenSSL dtls1_retrieve_buffered_fragment Déréférence de Pointeur NULL

https://www.securinfos.info/alertes-bulletins-securite/20090709-OpenSSL-dtls1_retrieve_buffered_fragment-Dereference-de-Pointeur-NULL-4.php


(Port Knocking sous FreeBSD avec PF :
http://blog.madpowah.org/archives/2009/06/30/index.html#e2009-06-30T01_00_05.txt
)

/JA
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: habitudes ssh (was Re: [FRnOG] Faille OpenSSH?)

[Thomas Mangin]

Salut Xavier,

Pas bien de changer le port de ssh. Oui, ca fait gagner quelques  
jours,

lors d'une compromission, mais on perd en clarté.
L'informatique est déjà assez complexe n'est-ce pas ?


Pardon ? changer un port ce n'est pas complexe.

Mes serveurs SSH n'ont jamais tourne en port 22, la seule fois ou ca a  
ete le cas a ete quand une de mes machines a ete compromise et que le  
binaire SSH a ete remplace.
De voir le port changer c'etait vraiment une tres bonne indication que  
j'etais bon pour re-installer la machine apres une analyse post- 
mortem. Nagios comme IDS, ca m'a fait sourire :)
La, merci au firewall paranoiaque, personne n'a pu se connecter - et  
la machine n'a pas ete utilise. Avec tes conseils, j'etais cuit.


Laisser SSH ouvert sur le monde c'est une folie. Folie peut-etre  
pratique mais folie tout de meme.
Avoir un worm prendre controle de d'une de tes machines et te forcer  
d'arreter tes vacances, c'est pas cool - j'ai pas envie de tester.


Là aussi, le VPN augmente peut être un peu la sécurité, mais à quel  
prix ?


Si tu as un PIX, monter un VPN ou meme un tunnel L2TP c'est pas la mer  
a boire.
Et passer par une/plusieur machine(s) "gateway" exclue(s) des ACL  
c'est pas bien dur.


Difficile de se connecter rapidement le jour où tout est planté,  
dans un

cyber-café, depuis un téléphone 3G, ...


Non, Il faut un peut penser a ce que l'on fait mais je ne suis pas  
d'accord avec ce que tu affirmes la.
Pour le jour ou 'tout est plante', tu dois avoir un plan d'action (KVM  
via un autre ISP, etc.).


Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/

habitudes ssh (was Re: [FRnOG] Faille OpenSSH?)

[Xavier Nicollet]

Le 09 juillet 2009 à 08:32, Thomas Mangin a écrit:
> Puisqu' on liste maintenant ce qui creve les yeux  :)

Pas tant que ça.
Au risque de paraître rabat-joie:

> [...]
> - changer le port par default de SSH  si on doit laisser ssh ouvert sur  
> le monde

$ grep ssh /etc/services
ssh 22/tcp  # SSH Remote Login Protocol

Pas bien de changer le port de ssh. Oui, ca fait gagner quelques jours,
lors d'une compromission, mais on perd en clarté.
L'informatique est déjà assez complexe n'est-ce pas ?

> - utiliser .ssh./config pour ne pas a avoir a lister ce port de maniere  
> explicite

Voilà ;-)

> - utiliser un VPN pour travailler depuis le monde

Là aussi, le VPN augmente peut être un peu la sécurité, mais à quel prix
?
Difficile de se connecter rapidement le jour où tout est planté, dans un
cyber-café, depuis un téléphone 3G, ...

-- 
Xavier Nicollet
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Faille OpenSSH?

[Sébastien BAUDRU]

Hello,

En effet, la faille n'est pas établie, et la plus grande prudence est de
mise, notamment quand on se rappelle des événements de l'année dernière
concernant "la giga hyper faille DNS" trouvé par Kaminsky.

Mais là, il existe un paramètre en plus : c'est pas un quasi inconnu,
mais un group nommé anti-sec qui agit. Et ces équipes que sont THC, ADM
et autres anti-sec prennent très grand soin de leur image, et ne font
pas "de promesse en l'air". C'est, à mon sens, le détail qui rend le
plus crédible cette histoire. Mais, qu'on en soit biensûr, j'espère
qu'on se trompe, vraiment. Mais, au fur et a mesure de la prise de
renseignements, des détails donnent du crédit à la rumeur.

SSANZ était sous RedHat avec un OpenSSH 4.3. Beaucoup en ont déduis que
seul OpenSSH 4.3 était attaquable (quelle que soit la manière utilisée).
C'est là-dessus que je préfère me méfier, parce que jusqu'a preuve du
contraire, personne chez anti-sec n'a indiqué cela.

Oui, la prudence est de mise. La paranoia, pas encore. Il faut surtout
être prêt, car si un exploit venait a être rendu public, il y a fort a
parier que seuls les grosses infrastructures auront été contactées pour
une mise à jour, et que toutes les petites entités devront réagir avant
que quelqu'un ne se serve de cet outil contre eux. Prudence, et
appréhension, donc.

Sébastien BAUDRU

Radu-Adrian Feurdean a écrit :
> On Thu, 09 Jul 2009 10:40:51 +0200, "Sébastien BAUDRU"
>  said:
> 
>> La faille OpenSSH n'a jamais été liée à un quelconque brute-froce, et
> 
> Quelle faille ? 
> Pour l'instant : 
>  - on a vu des logs (sans savoir s'ils sont vrais ou faux) 
>  - on peut etre assez confiants du fait que SSANZ a ete hacke
>  mais il n'y a aucune indication d'une faille. Nullepart. 
> 
> Si elle existe on ne sait pas quelle est la partie du code qui est
> concerne.
> 
> Le seul chose acceptable qu'on peut faire c'est d'etre plus prudents que
> d'habitude (voire un petit peu paranoids), de faire plus attentions aux
> bons pratiques
> 
> Pour l'instant la "faille OpenSSH" c'est comme l'existence du dieu de
> votre choix. Faut croire que ca existe, parce-que des vraies preuves de
> leur existence, faut etre motive(croyant) pour les accepter en
> etat..
> 
> 

-- 
DRASTIC - Sébastien BAUDRU
Sécurité des architectures informatique et des systèmes d'information
__

http://www.drastic-securite.com
Z.I. Petite Savate - 59600 Maubeuge (Nord, France)

sebast...@drastic-securite.com
03.27.64.66.50 <> 06.37.89.36.31
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Faille OpenSSH?

[Julien Richer]

Le 9 juillet 2009 11:20,  a écrit :

> > n'est pas offerte. La mise à jour vers OpenSSH 5.2 pourrait créer un
> > faux sentiment de sécurité, en l'absence d'infos concrète sur les
> > capacités de l'outil d'anti-sec.
>
> ceci peut être le but recherché. si la version 5.2 a une 0day, comment
> avoir le maximum de ssh à hacker ? faire penser que les versions
> precedentes sont pourris. et quand tout le monde aura mis à jour le
> ssh, commencer les scans à ce moment là.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
Ce qui est aussi inquiétant, c'est qu'on parle de version 4.3 de chez
Redhat
Hors, hormis bourde de leur coté, ils ont backporté pas mal de choses sur
leur 4.3.

Donc, *si* une faille existe vraiment sur cette 4.3-redhat et *si* redhat a
bien tout backporté sur cette version, ça pourrait dire que les suivantes
sont aussi touchées :-\

Re: [FRnOG] Faille OpenSSH?

[oles]

> n'est pas offerte. La mise à jour vers OpenSSH 5.2 pourrait créer un
> faux sentiment de sécurité, en l'absence d'infos concrète sur les
> capacités de l'outil d'anti-sec.

ceci peut être le but recherché. si la version 5.2 a une 0day, comment 
avoir le maximum de ssh à hacker ? faire penser que les versions 
precedentes sont pourris. et quand tout le monde aura mis à jour le
ssh, commencer les scans à ce moment là.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Faille OpenSSH?

[Radu-Adrian Feurdean]

On Thu, 09 Jul 2009 10:40:51 +0200, "Sébastien BAUDRU"
 said:

> La faille OpenSSH n'a jamais été liée à un quelconque brute-froce, et

Quelle faille ? 
Pour l'instant : 
 - on a vu des logs (sans savoir s'ils sont vrais ou faux) 
 - on peut etre assez confiants du fait que SSANZ a ete hacke
 mais il n'y a aucune indication d'une faille. Nullepart. 

Si elle existe on ne sait pas quelle est la partie du code qui est
concerne.

Le seul chose acceptable qu'on peut faire c'est d'etre plus prudents que
d'habitude (voire un petit peu paranoids), de faire plus attentions aux
bons pratiques

Pour l'instant la "faille OpenSSH" c'est comme l'existence du dieu de
votre choix. Faut croire que ca existe, parce-que des vraies preuves de
leur existence, faut etre motive(croyant) pour les accepter en
etat..


-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Faille OpenSSH?

[yann.jouanin.list]

De plus chez Cisco c'est l'implémentation SSH qui est une faille... pardon
feature..
Suffit de regarder les transactions lors d'une connexion SSH sur IOS XR
pour se poser des questions existentielles...

On Thu, 09 Jul 2009 10:19:41 +0200, Benjamin BILLON 
wrote:
>> Rien a voir... 
> Si, à bloc !
> On a enfin des posts constructifs dénués de geigneries et autres 
> plaintes molles.
> 
> (et l'exploit se basant sur une attaque dictionnaire, c'est plus un 
> faille de configuration et donc humaine que de l'outil lui-même)
> 
> Nicolas MICHEL a écrit :
>> Pour vos routeurs Cisco :
>>
>> internet(config)#*login delay 7*
>> internet(config)#*login block-for 120 attempts 30 within 100*
>> internet(config)#*login quiet-mode access-class 10*
>> internet(config)#*login on-failure log every 3
>> *internet(config)#*access-list 10 permit 192.168.1.0 0.0.0.255*
>> internet(config)#*exit
>> *
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Faille OpenSSH?

[Sébastien BAUDRU]

Bonjour,

La faille OpenSSH n'a jamais été liée à un quelconque brute-froce, et
c'est bien pour cela qu'elle fait tant de bruit. Exit donc, pour
l'instant, les solutions de type Iptables ou Fail2ban, les IPS ne
pourront rien tant que n'aura pas été révelée l'endroit exact de la
faille, ni même les versions exactes de SSH.

A ce jour, l'ISC à publié une story là dessus, mais peu de nouvelles
aujourd'hui.

http://isc.sans.org/diary.html?storyid=6742

Le problème c'est que l'équipe anti-sec est connue pour ne pas réveler
ses exploits, sauf quand la leçon est méritée. Pour OpenSSH, ils ont
puni un néo-zélandais, et l'histoire a très vite fait du bruit, ce qui a
poussé anti-sec a faire une petite note rendue publique. Rien n'indique
que l'exploit soit récent, rien n'indique non plus qu'il concerne
uniquement les version 4.3 comme c'est souvent écrit : anti-sec s'est
servi d'un outil qui leur est propre, et la seule chose qui ait changé
depuis le début de cette affaire, c'est qu'on connait l'existence de cet
outil, qui est peut-être né il y a plusieurs années (il y a de fortes
chances qu'il soit né à la même époque qu'OpenSSH 4.3). Maintenant que
cette existence est rendue publique, il y a des chances qu'anti-sec
fasse une conf dessus.

Mes recommandations sont les mêmes que celles de Thomas Mangin, à savoir
la dissimulation derrière un VPN si la possibilité de couper le SSH
n'est pas offerte. La mise à jour vers OpenSSH 5.2 pourrait créer un
faux sentiment de sécurité, en l'absence d'infos concrète sur les
capacités de l'outil d'anti-sec.

B.R.
Sébastien BAUDRU

Sebastien gioria a écrit :
> 
> Le 9 juil. 09 à 10:19, Benjamin BILLON a écrit :
> 
>>> Rien a voir...
>> Si, à bloc !
>> On a enfin des posts constructifs dénués de geigneries et autres
>> plaintes molles.
>> (et l'exploit se basant sur une attaque dictionnaire, c'est plus un
>> faille de configuration et donc humaine que de l'outil lui-même)
> 
> ce n'est plus une faille si cela se base sur une attaque brute-force
> de   dico :) C'est une feature :)
> 
> en même temps, avant de crier au loup, il serait bon de regarder les
> logsa priori il n'y a pas plus de scans/attaques que d'habitude sur
> ce portDe même si on lit bien, la "faille", si elle existe ne cible
> pas tous les OS
> 
> PS: cela ne remet pas en cause la bonne qualité du CLI IOS proposé qui
> devrait être la configuration standard fournie par Cisco :)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 

-- 
DRASTIC - Sébastien BAUDRU
Sécurité des architectures informatique et des systèmes d'information
__

http://www.drastic-securite.com
Z.I. Petite Savate - 59600 Maubeuge (Nord, France)

sebast...@drastic-securite.com
03.27.64.66.50 <> 06.37.89.36.31
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Faille OpenSSH?

[Charles]

Yann Jouanin a écrit :

Ou encore un petit fail2ban…


Ou denyhosts, spécialiste ssh et qui permet aussi de télécharger une 
liste des hosts malicieux à un instant donné. Pratique.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Faille OpenSSH?

[Sebastien gioria]

Le 9 juil. 09 à 10:19, Benjamin BILLON a écrit :


Rien a voir...

Si, à bloc !
On a enfin des posts constructifs dénués de geigneries et autres  
plaintes molles.
(et l'exploit se basant sur une attaque dictionnaire, c'est plus un  
faille de configuration et donc humaine que de l'outil lui-même)


ce n'est plus une faille si cela se base sur une attaque brute-force  
de   dico :) C'est une feature :)


en même temps, avant de crier au loup, il serait bon de regarder les  
logsa priori il n'y a pas plus de scans/attaques que d'habitude  
sur ce portDe même si on lit bien, la "faille", si elle existe ne  
cible pas tous les OS


PS: cela ne remet pas en cause la bonne qualité du CLI IOS proposé qui  
devrait être la configuration standard fournie par Cisco :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Faille OpenSSH?

[Benjamin BILLON]

Rien a voir... 

Si, à bloc !
On a enfin des posts constructifs dénués de geigneries et autres 
plaintes molles.


(et l'exploit se basant sur une attaque dictionnaire, c'est plus un 
faille de configuration et donc humaine que de l'outil lui-même)


Nicolas MICHEL a écrit :

Pour vos routeurs Cisco :

internet(config)#*login delay 7*
internet(config)#*login block-for 120 attempts 30 within 100*
internet(config)#*login quiet-mode access-class 10*
internet(config)#*login on-failure log every 3
*internet(config)#*access-list 10 permit 192.168.1.0 0.0.0.255*
internet(config)#*exit
*

Re: [FRnOG] Faille OpenSSH?

[Nicolas MICHEL]

Pour vos routeurs Cisco :

internet(config)#*login delay 7*
internet(config)#*login block-for 120 attempts 30 within 100*
internet(config)#*login quiet-mode access-class 10*
internet(config)#*login on-failure log every 3
*internet(config)#*access-list 10 permit 192.168.1.0 0.0.0.255*
internet(config)#*exit



:)


Nicolas



*
Le 9 juillet 2009 09:32, Thomas Mangin  a
écrit :

> Benjamin BILLON wrote:
>
>> Petit rappel pour les stressés : utilisez un certificat + mot de passe au
>> lieu du simple user/pass. Et désactivez le login par user/pass seul.
>>
> Puisqu' on liste maintenant ce qui creve les yeux  :)
> - creer un utilisateur non privilegie pour se connecter avec mot de passe
> et utiliser sudo
> - changer le port par default de SSH  si on doit laisser ssh ouvert sur le
> monde
> - utiliser .ssh./config pour ne pas a avoir a lister ce port de maniere
> explicite
> - ne laisser ssh ouvert que sur une/deux machines passerelles (si c'est
> vraiment necessaire), restraindre les IP pouvant se connecter sur les autre.
> - utiliser un VPN pour travailler depuis le monde
>
> Rien a voir... Thread suite SVP :D
>
> Thomas
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

Re: [FRnOG] Faille OpenSSH?

[Thomas Mangin]

Benjamin BILLON wrote:
Petit rappel pour les stressés : utilisez un certificat + mot de passe 
au lieu du simple user/pass. Et désactivez le login par user/pass seul.

Puisqu' on liste maintenant ce qui creve les yeux  :)
- creer un utilisateur non privilegie pour se connecter avec mot de 
passe et utiliser sudo
- changer le port par default de SSH  si on doit laisser ssh ouvert sur 
le monde
- utiliser .ssh./config pour ne pas a avoir a lister ce port de maniere 
explicite
- ne laisser ssh ouvert que sur une/deux machines passerelles (si c'est 
vraiment necessaire), restraindre les IP pouvant se connecter sur les autre.

- utiliser un VPN pour travailler depuis le monde

Rien a voir... Thread suite SVP :D

Thomas
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Faille OpenSSH?

[Benjamin BILLON]

Petit rappel pour les stressés : utilisez un certificat + mot de passe 
au lieu du simple user/pass. Et désactivez le login par user/pass seul.


http://suso.org/docs/shell/ssh.sdf


Julien Richer a écrit :

Bonsoir,

J'imagine que vous êtes tous sur l'infos, mais on sait jamais

Encore quelques infos :
http://www.zataz.com/forum/index.php?autocom=blog&blogid=1&showentry=67 



A priori ça comporterait un minimum de brute-force, mais sur l'user !
Voici par exemple la liste des users testés sur un serveur de zataz:
http://www.zataz.net/eromang/invalide-ssh-user-list.txt

Les classiques comme root ou ROOT, mais également les prénoms très 
portés comme john y sont présents (julien également ;-) )


Autre info  ( victime présumée : un admin Astalavista.com )
http://www.tux-planet.fr/astalavista-pwnage-expose-by-anti-sec-group/

openSSH 4.3 est souvent dans le coup, ce qui ne prouve pas que la 5.x 
soit à l'abri.




Julien



Le 8 juillet 2009 00:06, mailto:o...@ovh.net>> a écrit :

On Wed, Jul 08, 2009 at 12:00:12AM +0200, Jerome Athias wrote:
> Bonjour,
>
> certains ont-ils des informations ou constaté des problèmes sur
OpenSSH
> compilé sur OpenSSL?
>
http://forums.hostgator.com/all-servers-ssh-access-restricted-t52287.html

http://isc.sans.org/diary.html?storyid=6742
---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Faille OpenSSH?

[Yann Jouanin]

Ou encore un petit fail2ban…

 

De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de
Eudes Philippe
Envoyé : jeudi 9 juillet 2009 00:17
À : 'Julien Richer'; frnog@frnog.org
Objet : RE: [FRnOG] Faille OpenSSH?

 

merci pour cette info

 

Si la phase de hack passe effectivement par un brute-force, 3 lignes
iptables et on est protégé. Des brute-force il y en a tous les jours sur
toutes les machines ou le ssh est ouvert;

tout le monde devrait avoir ces lignes iptables dans son firewall sur des
machines ou le ssh doit etre ouvert pour tout le monde.

 

En tout cas, comme hier soir on ne savait pas grand chose, a part que
openssh 5 ne serait pas, semble-t-il impacté (info d'hier), j'ai installé
cette dernière version.

 

Mais la nuit n'a pas été bonne, beaucoup de stress pour finalement... pas
grand chose :)

 

 

 

De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de
Julien Richer
Envoyé : mercredi 8 juillet 2009 23:40
À : frnog@frnog.org
Objet : Re: [FRnOG] Faille OpenSSH?

 

Bonsoir,

J'imagine que vous êtes tous sur l'infos, mais on sait jamais

Encore quelques infos :
http://www.zataz.com/forum/index.php?autocom=blog
<http://www.zataz.com/forum/index.php?autocom=blog&blogid=1&showentry=67>
&blogid=1&showentry=67

A priori ça comporterait un minimum de brute-force, mais sur l'user !
Voici par exemple la liste des users testés sur un serveur de zataz:
http://www.zataz.net/eromang/invalide-ssh-user-list.txt

Les classiques comme root ou ROOT, mais également les prénoms très portés
comme john y sont présents (julien également ;-) ) 

Autre info  ( victime présumée : un admin Astalavista.com )
http://www.tux-planet.fr/astalavista-pwnage-expose-by-anti-sec-group/

openSSH 4.3 est souvent dans le coup, ce qui ne prouve pas que la 5.x soit à
l'abri.



Julien



Le 8 juillet 2009 00:06,  a écrit :

On Wed, Jul 08, 2009 at 12:00:12AM +0200, Jerome Athias wrote:
> Bonjour,
>
> certains ont-ils des informations ou constaté des problèmes sur OpenSSH
> compilé sur OpenSSL?
> http://forums.hostgator.com/all-servers-ssh-access-restricted-t52287.html

http://isc.sans.org/diary.html?storyid=6742

---
Liste de diffusion du FRnOG
http://www.frnog.org/

 

Philippe Eudes 
Cisneo SARL 
Téléphone: 0811 031 456 
eu...@cisneo.fr 

  _  

  <http://andromede.mail.cisneo.fr/img/cisneo.fr/postmaster.GIF> 
Ceci est une signature automatique inserée par le serveur smtp sortant -
Cisneo Antispam - 99.999% de spams identifiés - 0.01% de faux positifs -
Nemesis is UP (V3) 
Ready for test our SMTP filtering relay' contact us now! 

RE: [FRnOG] Faille OpenSSH?

[Eudes Philippe]

merci pour cette info

 

Si la phase de hack passe effectivement par un brute-force, 3 lignes
iptables et on est protégé. Des brute-force il y en a tous les jours sur
toutes les machines ou le ssh est ouvert;

tout le monde devrait avoir ces lignes iptables dans son firewall sur des
machines ou le ssh doit etre ouvert pour tout le monde.

 

En tout cas, comme hier soir on ne savait pas grand chose, a part que
openssh 5 ne serait pas, semble-t-il impacté (info d'hier), j'ai installé
cette dernière version.

 

Mais la nuit n'a pas été bonne, beaucoup de stress pour finalement... pas
grand chose :)

 

 

 


Philippe Eudes
Cisneo SARL
Téléphone: 0811 031 456
eu...@cisneo.fr

---
Ceci est une signature automatique inserée par le serveur smtp sortant
Cisneo Antispam - 99.999% de spams identifiés - 0.01% de faux positifs - 
Nemesis is UP (V3)
Ready for test our SMTP filtering relay' contact us now!



De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de
Julien Richer
Envoyé : mercredi 8 juillet 2009 23:40
À : frnog@frnog.org
Objet : Re: [FRnOG] Faille OpenSSH?

 

Bonsoir,

J'imagine que vous êtes tous sur l'infos, mais on sait jamais

Encore quelques infos :
http://www.zataz.com/forum/index.php?autocom=blog
<http://www.zataz.com/forum/index.php?autocom=blog&blogid=1&showentry=67>
&blogid=1&showentry=67

A priori ça comporterait un minimum de brute-force, mais sur l'user !
Voici par exemple la liste des users testés sur un serveur de zataz:
http://www.zataz.net/eromang/invalide-ssh-user-list.txt

Les classiques comme root ou ROOT, mais également les prénoms très portés
comme john y sont présents (julien également ;-) ) 

Autre info  ( victime présumée : un admin Astalavista.com )
http://www.tux-planet.fr/astalavista-pwnage-expose-by-anti-sec-group/

openSSH 4.3 est souvent dans le coup, ce qui ne prouve pas que la 5.x soit à
l'abri.



Julien




Le 8 juillet 2009 00:06,  a écrit :

On Wed, Jul 08, 2009 at 12:00:12AM +0200, Jerome Athias wrote:
> Bonjour,
>
> certains ont-ils des informations ou constaté des problèmes sur OpenSSH
> compilé sur OpenSSL?
> http://forums.hostgator.com/all-servers-ssh-access-restricted-t52287.html

http://isc.sans.org/diary.html?storyid=6742

---
Liste de diffusion du FRnOG
http://www.frnog.org/

 

Re: [FRnOG] Faille OpenSSH?

[Julien Richer]

Bonsoir,

J'imagine que vous êtes tous sur l'infos, mais on sait jamais

Encore quelques infos :
http://www.zataz.com/forum/index.php?autocom=blog&blogid=1&showentry=67

A priori ça comporterait un minimum de brute-force, mais sur l'user !
Voici par exemple la liste des users testés sur un serveur de zataz:
http://www.zataz.net/eromang/invalide-ssh-user-list.txt

Les classiques comme root ou ROOT, mais également les prénoms très portés
comme john y sont présents (julien également ;-) )

Autre info  ( victime présumée : un admin Astalavista.com )
http://www.tux-planet.fr/astalavista-pwnage-expose-by-anti-sec-group/

openSSH 4.3 est souvent dans le coup, ce qui ne prouve pas que la 5.x soit à
l'abri.



Julien



Le 8 juillet 2009 00:06,  a écrit :

> On Wed, Jul 08, 2009 at 12:00:12AM +0200, Jerome Athias wrote:
> > Bonjour,
> >
> > certains ont-ils des informations ou constaté des problèmes sur OpenSSH
> > compilé sur OpenSSL?
> >
> http://forums.hostgator.com/all-servers-ssh-access-restricted-t52287.html
>
> http://isc.sans.org/diary.html?storyid=6742
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

Re: [FRnOG] Faille OpenSSH?

[oles]

On Wed, Jul 08, 2009 at 12:00:12AM +0200, Jerome Athias wrote:
> Bonjour,
> 
> certains ont-ils des informations ou constaté des problèmes sur OpenSSH
> compilé sur OpenSSL?
> http://forums.hostgator.com/all-servers-ssh-access-restricted-t52287.html

http://isc.sans.org/diary.html?storyid=6742
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Faille OpenSSH?

[Jerome Athias]

Bonjour,

certains ont-ils des informations ou constaté des problèmes sur OpenSSH
compilé sur OpenSSL?
http://forums.hostgator.com/all-servers-ssh-access-restricted-t52287.html

/JA
---
Liste de diffusion du FRnOG
http://www.frnog.org/