---

Er der blevet opdaget et hul i OpenSSH ?

Da jeg kom hjem idag, opdagede jeg at brugeren "fax" havde faaet nyt password.
Og et kig i mine logfiler viste mig:

Nov 2 14:25:54 pcXXXX sshd[6490]: Disconnecting: Corrupted check bytes on input.
Nov 2 14:25:57 pcXXXX sshd[6493]: Disconnecting: crc32 compensation attack: network attack detected

Jeg koerer linux med kerne 2.2.15 samt
OpenSSH_2.9p2, SSH protocols 1.5/2.0, OpenSSL 0x0090581f

Mvh
Martin M. Pedersen

ps. Jeg har hurtigt lukket for ssh samt slettet fax brugeren og skiftet
root-password.

---

In <9ruiss$en0$1@news.net.uni-c.dk> tusk@daimi.au.dk (Martin Moller Pedersen) writes:

>Er der blevet opdaget et hul i OpenSSH ?

>Da jeg kom hjem idag, opdagede jeg at brugeren "fax" havde faaet nyt password.
>Og et kig i mine logfiler viste mig:

>Nov 2 14:25:54 pcXXXX sshd[6490]: Disconnecting: Corrupted check bytes on input.
>Nov 2 14:25:57 pcXXXX sshd[6493]: Disconnecting: crc32 compensation attack: network attack detected

>Jeg koerer linux med kerne 2.2.15 samt
>OpenSSH_2.9p2, SSH protocols 1.5/2.0, OpenSSL 0x0090581f

Saa fandt jeg lige et directory, som hackeren havde kaldt /usr/bin/util/ med
flg. filer:

ered* hex.c* linsniff* nethide* tcparse* voodoo
hex* hidef* linsniff.c* rootme* tcwipe*

Alle filer er ejet af root, saa nu ved jeg at det lykkes for ham at blive root.
Saa nu vil jeg re-installerer hele maskinen

Daarlig dag idag.

Mvh
Martin

---

Martin Moller Pedersen wrote:

>Er der blevet opdaget et hul i OpenSSH ?

Jep.

Åbenbart tilbage i februar:

<http://groups.google.com/groups?hl=en&th=904dc239021f736f&rnum=6>

Der er en del der er blevet angrebet.

Jeg er i gang med at checke log-filer, men indtil nu har jeg ikke fundet
noget, men det behøver jo ikke betyde noget.

En ting til. Min /etc/passwd og /etc/shadow er ikke ændret siden 25
september, hvor jeg installerede systemet. Det er vel ok? Eller det kan
vel også fakes med en falsk "ls"?

--
"...personality goes a long way."

http://chran.dyndns.dk - Nu med misbrug!

---

In <3be2ef18$0$212$edfadb0f@dspool01.news.tele.dk> Christian Andersen <igqgfq001@sneakemail.com> writes:

>Martin Moller Pedersen wrote:

>>Er der blevet opdaget et hul i OpenSSH ?

>Jep.

>Åbenbart tilbage i februar:

><http://groups.google.com/groups?hl=en&th=904dc239021f736f&rnum=6>

>Der er en del der er blevet angrebet.

>Jeg er i gang med at checke log-filer, men indtil nu har jeg ikke fundet
>noget, men det behøver jo ikke betyde noget.

>En ting til. Min /etc/passwd og /etc/shadow er ikke ændret siden 25
>september, hvor jeg installerede systemet. Det er vel ok? Eller det kan
>vel også fakes med en falsk "ls"?

Vedkommende slaa foerst min syslog fra og bagefter rettede i /etc/passwd.
Den kunne jeg saa paa datoen paa /etc/shadow og /etc/passwd.

Da vedkommende skiftede password for fax brugeren kom beskeden ud paa
mine terminaler, da han/hun jo havde slaaet sysloggeren fra. Det var
faktisk derfor jeg opdagede det saa hurtigt

Mvh
Martin

---

"Martin Moller Pedersen" <tusk@daimi.au.dk> wrote
> Jeg koerer linux med kerne 2.2.15 samt
> OpenSSH_2.9p2, SSH protocols 1.5/2.0, OpenSSL 0x0090581f

dit openssl versionsnummer ser sært ud, men det er måske normalt..
afskrækker 'dumme' mennesker fra at identificere en version.

din kernel er 'for gammel' - der er lavet local root exploits til den... så
selv om du kører diverse services som upriviligerede brugere kan din maskine
stadig 'ownes' ..
>
> Mvh
> Martin M. Pedersen
>
> ps. Jeg har hurtigt lukket for ssh samt slettet fax brugeren og skiftet
> root-password.

hvis det er en worm der ikke gør andet end at skifte passwd på rootaccounten
er det nok det der... det lader vi lige stå for sig selv en tid :)

---

In <9ruuak$30dn$1@news.cybercity.dk> "Johan Kringelbach" <pis@lort.dk> writes:


>"Martin Moller Pedersen" <tusk@daimi.au.dk> wrote
>> Jeg koerer linux med kerne 2.2.15 samt
>> OpenSSH_2.9p2, SSH protocols 1.5/2.0, OpenSSL 0x0090581f

>dit openssl versionsnummer ser sært ud, men det er måske normalt..
>afskrækker 'dumme' mennesker fra at identificere en version.

>din kernel er 'for gammel' - der er lavet local root exploits til den... så
>selv om du kører diverse services som upriviligerede brugere kan din maskine
>stadig 'ownes' ..

Det var vistnok kun et problem, hvis /usr/sbin/newgroup was SUID og noget
mere, som jeg ikke husker.

Mvh
Martin

---

tusk@daimi.au.dk (Martin Moller Pedersen) writes:

> In <9ruuak$30dn$1@news.cybercity.dk> "Johan Kringelbach" <pis@lort.dk> writes:
>
> >"Martin Moller Pedersen" <tusk@daimi.au.dk> wrote
> >din kernel er 'for gammel' - der er lavet local root exploits til den... så
> >selv om du kører diverse services som upriviligerede brugere kan din maskine
> >stadig 'ownes' ..
>
> Det var vistnok kun et problem, hvis /usr/sbin/newgroup was SUID og noget
> mere, som jeg ikke husker.

Det eksplicitte exploit, der blev posted havde brug for en suid
newgroup, men hvis jeg ikke tager helt fejl kunne sårbarheden vistnok
også udnyttes på anden vis.

--
Med venlig hilsen
Christian Laursen

---

"Christian Laursen" <xi@borderworlds.dk> wrote in message
news:m3668s4xbw.fsf@borg.borderworlds.dk...
> tusk@daimi.au.dk (Martin Moller Pedersen) writes:
>
> > In <9ruuak$30dn$1@news.cybercity.dk> "Johan Kringelbach" <pis@lort.dk>
writes:
> >
> > >"Martin Moller Pedersen" <tusk@daimi.au.dk> wrote
> > >din kernel er 'for gammel' - der er lavet local root exploits til
den... så
> > >selv om du kører diverse services som upriviligerede brugere kan din
maskine
> > >stadig 'ownes' ..
> >
> > Det var vistnok kun et problem, hvis /usr/sbin/newgroup was SUID og
noget
> > mere, som jeg ikke husker.
>
> Det eksplicitte exploit, der blev posted havde brug for en suid
> newgroup, men hvis jeg ikke tager helt fejl kunne sårbarheden vistnok
> også udnyttes på anden vis.

nææh.. det 'nye' exploit er til <2.2.4 - det jeg taler om(ecps2.c eller
epcs2.c - sorry, kan ikke huske) er til alt under 2.2.19 ....

:)))) google er jeres ven..

---

og for lige at fucke up, jeg mener <2.4.4 ...

---

tusk@daimi.au.dk (Martin Moller Pedersen) wrote:

>Er der blevet opdaget et hul i OpenSSH ?
....
>Jeg koerer linux med kerne 2.2.15 samt
>OpenSSH_2.9p2, SSH protocols 1.5/2.0, OpenSSL 0x0090581f

Jeg mener ikke at der er nogen særlig farlige fejl i OpenSSH
2.9p2 (udover en som bevirker at begrænsninger på
klient-ip-adressen ikke altid bliver tjekket som de skulle, men
det er jo kun et problem hvis nøglen/passwordet i forvejen er
kendt).

Der er ganske rigtigt nogle "local exploits" i din Linuxkerne,
men det kan jo kun være problemet hvis skurken først på anden vis
har skaffet sig adgang som en lokal bruger (men ikke nødvendigvis
root).

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

undskyld jeg spammer lidt.

Her er også lige lidt at se på .

- Attacks on SSH configurations -
Oxygen3 24h-365d, by Panda Software

Madrid, October 31, 2001 -- X-Force reports -at
http://xforce.iss.net/alerts/advise100.php - the existence and
distribution
of a utility that can be used to remotely exploit a vulnerability in
Secure
Shell (SSH).

The aforementioned bug, reported last February, enables code to be run
on
the target computer without any specific knowledge of the host.
According to
X-Force, there is a utility that is being used to exploit this
vulnerability.

Devices affected by this flaw are the Catalyst 6000 6.2(0.110) switches,
Cisco IOS versions 12.0S and 12.1xx-12.2xx, Cisco PIX Firewalls 5.2(5)
and
5.3(1), SSH Communications Security SSH 2.x and 3.x (if SSH Version 1
fallback is enabled) and SSH Communications Security SSH 1.2.23-1.2.31.

For detailed information about the corresponding patches, go to:
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html




Mente det måske ku hjælpe .-)


--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"

---

"Mikael1973" <Mikael1973.news@kandu.dk> wrote:

>Madrid, October 31, 2001 -- X-Force reports -at
>http://xforce.iss.net/alerts/advise100.php - the existence and
>distribution
>of a utility that can be used to remotely exploit a vulnerability in
>Secure
>Shell (SSH).

Hvis man følger det link finder man at udover de produkter der
var nævnt som sårbare i dit indlæg står der også bl.a.:

"OpenSSH versions prior to 2.3.0 (if SSH Version 1 fallback is
enabled)"

Men det kan stadig kun forklare problemet hvis den oprindelige
poster er blevet ramt _inden_ en OpenSSH-opgradering, idet han
skrev at han bruger OpenSSH 2.9p2.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

In <m5cbut8de8eqg68ej40njpki2orvnu7q3q@dtext.news.tele.dk> Jesper Dybdal <jdunet@u6.dybdal.dk> writes:

>"OpenSSH versions prior to 2.3.0 (if SSH Version 1 fallback is
>enabled)"

>Men det kan stadig kun forklare problemet hvis den oprindelige
>poster er blevet ramt _inden_ en OpenSSH-opgradering, idet han
>skrev at han bruger OpenSSH 2.9p2.

Den oprindelige poster er et fjols, som brugte OpenSSH 2.9p2 til hans
ssh-client, men en meget aeldre sshd pga. et dumt symbolsk link.

/Martin

--
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

tusk@daimi.au.dk (Martin Moller Pedersen) wrote:

>In <m5cbut8de8eqg68ej40njpki2orvnu7q3q@dtext.news.tele.dk> Jesper Dybdal <jdunet@u6.dybdal.dk> writes:
>
>>"OpenSSH versions prior to 2.3.0 (if SSH Version 1 fallback is
>>enabled)"
>
>>Men det kan stadig kun forklare problemet hvis den oprindelige
>>poster er blevet ramt _inden_ en OpenSSH-opgradering, idet han
>>skrev at han bruger OpenSSH 2.9p2.
>
>Den oprindelige poster er et fjols, som brugte OpenSSH 2.9p2 til hans
>ssh-client, men en meget aeldre sshd pga. et dumt symbolsk link.

Det opklarer jo mysteriet.

Jeg kan i øvrigt anbefale "telnet localhost 22" når man tror man
har nyinstalleret en sshd - den giver sit versionsnummer som
indledende svar.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

undskyld jeg spammer lidt.

Her er også lige lidt at se på .

- Attacks on SSH configurations -
Oxygen3 24h-365d, by Panda Software

Madrid, October 31, 2001 -- X-Force reports -at
http://xforce.iss.net/alerts/advise100.php - the existence and
distribution
of a utility that can be used to remotely exploit a vulnerability in
Secure
Shell (SSH).

The aforementioned bug, reported last February, enables code to be run
on
the target computer without any specific knowledge of the host.
According to
X-Force, there is a utility that is being used to exploit this
vulnerability.

Devices affected by this flaw are the Catalyst 6000 6.2(0.110) switches,
Cisco IOS versions 12.0S and 12.1xx-12.2xx, Cisco PIX Firewalls 5.2(5)
and
5.3(1), SSH Communications Security SSH 2.x and 3.x (if SSH Version 1
fallback is enabled) and SSH Communications Security SSH 1.2.23-1.2.31.

For detailed information about the corresponding patches, go to:
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html




Mente det måske ku hjælpe .-)


--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"