| [ CnUnix ] in KIDS 글 쓴 이(By): Asteau (白首狂夫) 날 짜 (Date): 2002년 4월 19일 금요일 오전 03시 22분 09초 제 목(Title): 당했습니다. -- ssh 조심 일주일 사이에 같은 사람에게 두번이나 해킹을 당했습니다. 처음엔 6.2이 깔고 한번도 보안 패치 깔아본적 없이 써왔으니 당연하다고 생각하고 7.2를 깔았는데 이것도 곧바로 뚤리더라구요. 이번에는 불편해도 대부분의 접속 가능한 외부 주소를 막은 끝에 겨우 막은 것 같은데 어제 하루 종일 또 찝쩍거린 흔적이 있더군요. 문제는 그쪽이 이미 저의 새로운 암호를 알아낸 상태에서 telnet을 시도하려다가 host.allow에 등록되지 않아 들어오지 못하면서 끝난것 같습니다. 저의 짧은 linux 보안 지식과 남은 log 화일들을 보면 놈은 아마 finger를 통해 이쪽의 유저 이름을 먼저 알아낸 이후에 ssh를 통해 해킹을 하는 것 같습니다. ssh가 실제 문제가 있을 수 있다는 것이 알려져 있더군요. 다음은 작년 12월에 올랐던 글입니다. ----------------------------------------------------- 안녕하십니까? 저는 오늘과내일의 홍석범입니다. 최근들어 ssh(특히 openssh)의 보안 문제에 대해 여러 경로를 통해 논의가 되고 있습니다. 며칠전에는 OpenSSH 의 설정파일인 sshd_config 파일에서 UseLogin 옵션이 yes 로 설정되어 있을 경우 login 프로세스에 임의의 환경 변수를 넘겨주어 sshd 가 작동하는 root 권한으로 임의의 코드를 실행할 수 있는(즉, root권한을 획득할 수 있는) 심각한 보안 버그가 발견되었습니다. 대부분의 배포판에서 OpenSSH 배포시 기본적으로는 이 옵션이 disable 로 되어 있지만 혹 변경을 하셨다면 이의 영향을 받게 되므로 꼭 패치하시기 바랍니다. 이는 OpenSSH 3.0.1 이하(3.0.1포함)의 모든 버전(레드햇 7.0, 7.1, 7.2 및 수세,슬랙웨어등)에 해당되므로 UseLogin 을 no 로 설정하셨는지 확인하시거나 가급적 상위 버전으로 패치하시기 바랍니다. 아래는 이를 이용하여 특별한 환경 설정후 local 에서 root 를 획득하는 예이며 원격에서도 해당 서버에 계정만 있다면 충분이 가능합니다. $ id uid=1000(user1) gid=100(users) groups=100(users) $ ssh user1@localhost Enter passphrase for key '/home/user1/.ssh/id_dsa': sh-2.04# id uid=0(root) gid=100(users) groups=100(users) ssh 시스템이 많다면 아래에서 소개하는 scanssh 로 각 서버의 버전을 한꺼번에 scan해 보시는 것도 좋습니다. http://www.monkey.org/~provos/scanssh/ 관련 정보에 대해서는 아래의 사이트를 참고하시기 바랍니다. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0872 감사합니다. ---------------------------------------------------------- 암튼 저는 ssh라는 것을 어제,오늘 알았을 만큼 안쓰는 기능 이었지만 이것이 보통 RedHat를 깔때 디폴트로 on 설정이 되는 것이더군요. 이번에 장난친 놈은 /bin/login 화일만 없애고 가는 애교(^^;;)로 끝났지만 혹시 모르니 다른 분들도 조심하기 바랍니다. ------------------------------------------------------------------- G o n g m u d o h a 公無渡河 公竟渡河 陸河而死 當泰公河 G o n g k y u n g d o h a 公竟渡河 陸河而死 當泰公河 公無渡河 T a h a i e s a 陸河而死 當泰公河 公無渡河 公竟渡河 D a n g t a e g o n g h a 當泰公河 公無渡河 公竟渡河 陸河而死 |