মাতাসানো কীভাবে হ্যাক হল?

থেকে: http://seclists.org/fulldisclosure/2009/Jul/0388.html

যদি আমি পোস্টগুলি থেকে এটি ভালভাবে বুঝতে পারি: http://news.ycombinator.com/item?id=723798 মাতাসানো ছেলেরা এসএসডি ইন্টারনেট অ্যাক্সেসযোগ্য রেখে গেছে - এর জন্য কোনও প্রস্তাবিত সমাধান (কোনও প্রোগ্রামিং পয়েন্ট-ভিউ থেকে)?

মাতাসানো কীভাবে হ্যাক হল?

পোস্টে থাকা তথ্য থেকে পুরো প্রকাশের কাছে উত্তর দেওয়া অসম্ভব। তবে অনুমান করা সবসময় আকর্ষণীয়, কারণ তারা কিছুটা দূরে তথ্য দেয় -

# ./th3_f1n4l_s0lut10n www.matasano.com
[-] 69.61.87.163:22 এ সংযুক্ত হচ্ছে ..
[/] বৈধ নন-রুট ব্যবহারকারী .. অ্যাডাম খুঁজছেন
******** R3D4CT3D h4h4h4h4 ********

তারা th3_f1n41_s01ut10nমাতাসানো সার্ভারের বিরুদ্ধে তাদের বাইনারি " " চালায় যা ssh বন্দরের সাথে সংযোগ স্থাপন করে। এটি কিছু অজানা উপায়ের মাধ্যমে একটি বৈধ নন-রুট ব্যবহারকারীকে খুঁজে পায় এবং বাকি আউটপুটটি আবার redacted হয়।

# ./th3_f1n4l_s0lut10n -u অ্যাডাম -t 3 www.matasano.com
[*] কানেক্টব্যাক শ্রোতা 209.112.118.10:3338 এ ..
! 

বাইনারিটি আবার পাওয়া যায় এমন ব্যবহারকারীর নাম ব্যবহার করে চালানো হয় যা লগ ইন করে 3338 পোর্টে তাদের সার্ভারের সাথে আবার সংযোগ স্থাপন করে (আশা করি এটি তাদের নামে নিবন্ধিত নয় ...)।

adam_at_www: ame ame uname -a
লিনাক্স www 2.6.20.1-1-686 # 1 এসএমপি সান মার্চ 4 12:44:55 ইউটিসি 2007 i686 জিএনইউ / লিনাক্স
**** h4h4h4hh4h4h4 l3tz us3 m0r3! 0D4Y! H4H4H4H4H4H4H4 ****

তারা বোঝাতে পারে যে এই কার্নেলের বিরুদ্ধে তাদের 0-দিনের রয়েছে যা আপনি যখন এই সংস্থার স্টক-ইন-ট্রেড বিবেচনা করেন তখন এটি বেশ পুরানো।

adam_at_www: ~ d সিডি / টিএমপি
*********** বি0আর 1 এনজি ***********
রুট_এট_উইউউইউ: ~ # বিড়াল / ইত্যাদি / ছায়া 

ওফ - হঠাৎ ব্যবহারকারীর এখন রুট। / টেম্পে তাদের একটি স্থানীয় সুবিধাবঞ্চিত বৃদ্ধি শোষণ রয়েছে যা তারা উল্লেখ করা 0 দিনের হতে পারে।

সুতরাং এখানে কমপক্ষে দু'টি শোষণ চলছে - ওপেনএসএসএইচটি সিস্টেমটিতে বৈধ নন-রুট ব্যবহারকারী পেতে এবং সেই ব্যবহারকারী হিসাবে লগইন করতে, এবং তারপরে স্থানীয় সুযোগ-সুবিধা বৃদ্ধি esc

বিবেচনা করে বিবেচনা করুন যে ওপেনএসএইচ-এর সংস্করণ ৪.৫ থেকে কয়েকটি জানা সুরক্ষা সমস্যা রয়েছে:

থেকে OpenSSH- র নিরাপত্তা পৃষ্ঠা :

• সংস্করণ 5.2 এর পূর্বে ওপেনএসএইচ সিপিএনআই -957037 "এসএসএইচের বিরুদ্ধে প্লেইনটেক্সট রিকভারি অ্যাটাক" বর্ণিত প্রোটোকল দুর্বলতার পক্ষে ঝুঁকির মধ্যে রয়েছে। যাইহোক, উপলব্ধ সীমিত তথ্যের ভিত্তিতে এটি প্রদর্শিত হয় যে বর্ণিত এই আক্রমণটি বেশিরভাগ পরিস্থিতিতে অপ্রয়োজনীয়। আরও তথ্যের জন্য দয়া করে cbc.adv পরামর্শদাতা এবং ওপেনএসএসএইচ 5.2 রিলিজ নোট দেখুন।
• ওপেনএসএসএইচ 4.9 এবং আরও নবীনতর ~/.ssh/rcঅধিবেশনগুলির জন্য কার্যকর নয় যাঁর কমান্ডটি sshd_config (5) ফোর্সকমন্ড নির্দেশের সাথে ওভাররাইড করা হয়েছে। এটি একটি নথিভুক্ত, তবে অনিরাপদ আচরণ (ওপেনএসএসএইচ 4.9 রিলিজ নোটগুলিতে বর্ণিত)।
• ওপেনএসএইচ ৪.7 রিলিজ নোটে বর্ণিত হিসাবে ওপেনএসএইচ ৪. and এবং আরও অবিশ্বস্ত কুকি জেনারেশন ব্যর্থ হলে (যেমন ইচ্ছাকৃত সংস্থানজনিত ক্লান্তির কারণে) বিশ্বস্ত X11 প্রমাণীকরণ কুকিজ তৈরি করতে পিছনে পড়ে না।

আমার ধারণা এই লিনাক্স কার্নেলটি এবং পুরানো এসএসএইচ ডেমন তাদের জন্য করেছে। এছাড়াও, এটি তাদের www সার্ভারে চলছে, যা ইন্টারনেটে উপলব্ধ, যা আমার মতে করা বেশ আত্মবিশ্বাসের বিষয়। যে লোকেরা বিরতি পেয়েছিল তারা অবশ্যই তাদের বিব্রত করতে চেয়েছিল।

এই আক্রমণগুলি কীভাবে রোধ করা যায়?

প্র্যাকটিভ প্রশাসনের মাধ্যমে এটি প্রতিরোধ করা যেতে পারে - যে কোনও ইন্টারনেট-মুখোমুখি পরিষেবা প্যাচ করা হয়েছে তা নিশ্চিত করে, এবং যে কোনও জায়গা থেকে লোককে সংযোগ স্থাপনের পরিবর্তে সংযোগ করতে পারে এমন লোকের সংখ্যা সীমাবদ্ধ করে দেয়। এই পর্বটি এই পাঠটিকে সংমিশ্রিত করে যে সুরক্ষিত সিস্টেম প্রশাসন কঠোর এবং ব্যবসায়ের কাছ থেকে আইটেমিকে প্যাচ করার জন্য সময় দেওয়ার জন্য উত্সর্গ প্রয়োজন - বাস্তবে, এমন কিছু নয় যা সহজে ঘটে যায়, কমপক্ষে ছোট সংস্থাগুলিতে।

বেল্ট এবং-ধনুর্বন্ধনী পদ্ধতির ব্যবহার সর্বোত্তম - পাবলিক-কী প্রমাণীকরণ ব্যবহার করে, এসএসএস ডেমনটিতে শ্বেত তালিকাভুক্ত করা, দ্বি-ফ্যাক্টর প্রমাণীকরণ, আইপি নিষেধাজ্ঞাগুলি এবং / অথবা সমস্ত কিছু ভিপিএন এর পিছনে রেখে দেওয়া এটিকে লক করার সম্ভাব্য রুট।

আমি মনে করি আমি জানি যে আমি আগামীকাল কাজের সময়ে কী করব doing :)

লোকেরা এটির উপরে এফইউডি তৈরি করতে পছন্দ করে তবে মনে হয় যে তারা জানত যে ব্যবহারকারী অ্যাডাম ইতিমধ্যে সেখানে ছিল এবং তার পাসওয়ার্ডও জানতেন (সম্ভবত নিষ্ঠুর শক্তি বা অন্যান্য পদ্ধতির মাধ্যমে)। যাইহোক, তারা শীতল দেখতে চান এবং এই গোলমালটি তৈরি করতে চান।

মজার আরেকটি বিষয় লক্ষণীয় হ'ল ব্যবহারকারী অ্যাডাম এক বছরেরও বেশি সময় ধরে সেই বাক্সটিতে লগইন করেন নি:

(লাস্টলগের আউটপুট)

 adam             pts/1    ool-4350ab48.dyn Sat Jul 26 20:45:18 -0400 2008

সুতরাং তিনি সম্ভবত সেই পাসওয়ার্ডটি কিছু সময়ের জন্য রেখেছিলেন a

* যদি তাদের সত্যিই এসএসএইচ এর মাধ্যমে ব্যবহারকারীর নামগুলি আবিষ্কার করার জন্য একটি সরঞ্জাম থাকে তবে তারা অন্যান্য সমস্ত ব্যবহারকারীকে দূরবর্তী অ্যাক্সেস পেতে ব্যবহার করতে পারত তবে তারা সেই বাক্সে সবচেয়ে সাধারণ ব্যবহারকারীর নামটি (সহজেই অনুমান করার জন্য) ব্যবহার করেছিলেন।

আপনি কেন প্রোগ্রামিং দৃষ্টিকোণ থেকে এটি চেষ্টা করে সমাধান করবেন?

পরিবর্তে আপনার এটি একটি স্মার্ট-সার্ভার-প্রশাসক দৃষ্টিকোণ থেকে সমাধান করা উচিত। আপনার পোস্ট করা লিঙ্কগুলির মন্তব্যে কয়েকটি দুর্দান্ত পরামর্শ রয়েছে যেমন শ্বেত তালিকা ব্যবহার করার মতো।

আমি এটি যুক্ত করতে চাই, কারণ আপনি এখানে জিজ্ঞাসা করছেন, আপনি সম্ভবত কোনও সুরক্ষা বিশেষজ্ঞের দ্বারা সম্ভবত না হন এবং আপনি যে কিছু লিখতে ভাবতে পারেন তাতে কেবল আরও গর্ত যুক্ত হবে। এটি আসলেই কোনও প্রোগ্রামিং প্রশ্ন নয়।

আপনার সফ্টওয়্যারটিকে 0-দিনের আক্রমণ থেকে রক্ষা করুন ... যা অসম্ভব।

সম্ভবত একটি ভাল পদ্ধতির দাবি করা হল যে আপনার সফ্টওয়্যারটি অক্ষমযোগ্য, যা হোয়াইটহ্যাটগুলি চেষ্টা করে দেখায় এবং কম গর্ত রেখে সমস্ত কিছু সম্পূর্ণরূপে প্রকাশ করে। ওরাকল 10 এর এই দাবি ছিল, তার পরের দিন 9 টি নতুন গর্তের মতো পাওয়া গেল। এটি এখন বেশ সুরক্ষিত।

সম্ভবত, হ্যাকার পুরোপুরি ভাল সফ্টওয়্যার কনফিগারেশন আপত্তিজনক

এটি আমার মনকে ফুঁকিয়েছে যে তাদের that মেশিনে শেল সহ এতগুলি ব্যবহারকারী ছিল। এইভাবে তারা নিশ্চিতভাবে মালিকানা পেয়েছে, অন্য সমস্ত কিছু হ'ল রেড হেরিং বিভ্রান্ত করার উদ্দেশ্যে। তাদের মধ্যে একটি সম্ভবত তাদের কিছু এসএল ক্লায়েন্টকে সম্ভবত অন্য কোনও শেল মেশিনে ব্যাকডোর করেছে এবং তারপরে এটি শেষ হয়েছিল। প্রত্যেককে শেল অ্যাকাউন্ট দেওয়া এবং sshd বিশ্বকে অ্যাক্সেসযোগ্য করা কেবল অলস এবং বোকা।