SSH sifre denemeleri

Varsayilan SSH port’u degistirilmeyen veya SSH erisimi filtrelenmeyen her sunucu, Internet uzerinde otomatik olarak yapilan SSH sifre deneme/yanilma(Brute-Force) saldirilarina acik.

Bu gibi sistemlerin loglarinda bu aktiviteleri gormeye artik herkes alisti. Standart denemelerden farkli olarak, bu sabah gordugum bir aktivite dikkatimi cekti.
Denemeler Turkce isimlerden olusan kullanici adlari ile, Bogazici Universitesi IP bloguna ait 193.140.196.239 IP adresi kullanilarak yapilmis.

08:39’da “murat” kullanici adinin denenmesi ile baslayan denemeler, 8:41’e dogru, “wahid” kullanici adinin denenmesi ile son bulmus ve toplamda 660 potansiyel Turkce kullanici adi zayif sifrelere karsi denenmis.

Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user murat from 193.140.196.239 port 52828 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user emre from 193.140.196.239 port 52839 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user ali from 193.140.196.239 port 52849 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user onur from 193.140.196.239 port 52858 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user samet from 193.140.196.239 port 52872 ssh2
Apr 30 08:39:10 _hostname_ sshd[_pid_]: Failed password for illegal user ferhat from 193.140.196.239 port 52880 ssh2
… seklinde gidiyor.

Bunun gibi SSH denemeleri, DenyHosts kullanilarak engellenebilir.

Ayrica SSH uzerinden “root” kullanicisinin girisine izin verilmemeli (“/etc/ssh/sshd_config” dosyasinda “PermitRootLogin no” satirinin oldugundan emin olun) ve olasi bos sifreli kullanicilarin SSH kullanarak girisine izin verilmemelidir (“/etc/ssh/sshd_config” dosyasinda “PermitEmptyPasswords no” satirinin oldugundan emin olun).

Mart 2006 – kisa kisa

Goz acip kapadiginizi gorsun, zaman hemen geciveriyor.
Mart ve hatta Subat aylarinda yazmak istediklerimi zaman sIkintisindan dolayi yazamadim.
“to blog about” listemize bakip devam edelim…

Yazacagim bir yazilim icin ruby, python ve perl arasinda gidip geliyorum. Perl’u de eleyip ruby ve python’a bakmaya basladim. Simdilik ruby’ye daha yakin gibiyim.
Ruby’yi kendi tarafiniza hic bir yazilim kurmadan deneyebilirsiniz.
Bildigim projelerde hangi dillerin kullanildigini da aklimdan geciriyorum…
Aklima ilk gelenler; Metasploit Framework 3, ruby ile yeniden yazildi. CANVAS, SPIKE Proxy gibi Immunity tarafindan gelistirilen yazilimlarda, python kullanildi. CORE IMPACT yaziliminin modulleri ve belki bazi bolumleri yine python kullanilarak gelistirildi.
Neyse; ozet blog’u uzatmayalim.

Ucretsiz kisisel guvenlik duvari olarak kullanilabilecek CORE FORCE denemeye deger. Sadece port filtreleme degil, bir cok ek kontrolu beraberinde getiriyor.
Ilk deneme sumumunu kurdugumda problemliydi, ancak daha sonraki kuruluslarimda da kaldirmak durumunda kaldim. Ama problemin benden kaynaklanabilecegini dusunuyorum, cunku standart Windows shell’i explorer yerine Blackbox for Windows kullaniyorum. Daha onceden Check Point SecureClient gibi yazilimlarda da farkli problemler yasamistim.

Evvel zaman icinde(2006) bir musterimizdeki Websense Enterprise urununu 5.2 surumunden, son cikan 6.1.1 surumune guncelleme karari almistik. Standart yapilandirmalardan tek farki, SQL veritabaninin ayni veya dedike makina uzerinde degil, farkli bir SQL cluster ortaminda tutulmasiydi.
Standart upgrade denemesi, SQL’deki hak yetersizliginden dolayi basarisizlikla sonuclandi. Bunun uzerine dokumanlar bir daha karistirildi, net bir cevap bulunamadigindan Websense’e ticket acildi.
“Websense neden ‘sa’ kullanicisina ihtiyac duyuyor? Websense’e ayrilan SQL kullanicisina hangi haklari verirsek bu asamayi gecebiliriz? Politikalarimizdan ve SQL sunucusunun kritikliginden dolayi ‘sa’ hesabini veremiyoruz, ne yaptigini net olarak bilmeden de bu yetkiyi vermek de istemiyoruz.”
Tum ugraslara ragmen “SQL ‘sa’ kullanicisini kullanin, ne olucak” tadindaki cevaplarin disinda bir cevap alinamadi. Websense’e ayrilan SQL kullanicisina neredeyse tum yetkiler verildi ancak arsiz Websense’in istedigi ‘sa’den baska bir sey degildi.
Test ortaminda gerekli testler yapildiktan sonra Websense problemsiz upgrade edilebildi tabi ama, bunca ugras da cabasi. Websense’in notunu bu durumdan dolayi da kiriyoruz.
Oysa ki Cisco CSA oyle mi? Farkli bir SQL sunucusunda veriler tutulacaksa kurulum icin neler yapilmasi gerektigi dokumantasyonda cok detayli olarak anlatilmis.

Metasploit ekibi kendi bloglarini olusturmus.