dropbear ssh angriffe

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Geistesblitz schrieb:
Ein vollkonfigurierbaren ©IPCop (mit Webinterface) für (fast) jede ©Fritz!Box als Firmwareupdate!
Zum Vergrößern anklicken....
Wer compiliert uns das Ding? :)

Aber Spass beiseite, wer's braucht könnte eben einen ausgedienten möglichst energieeffizienten PC mit IPCop installieren und den zwischen Router und LAN verkabeln.
Nur, so wie ich das verstanden habe, läuft freetz auf dem Router.
Also muss für sowas ne freetz Lösung her, aber Dalli.
 
Zuletzt bearbeitet:
JohnDoe42 schrieb:
..., die Banner zumindest bei den "Standard-"Anwendungen (VSFTPD, Dropbear etc.) evtl per Patch abschaltbar zu machen, ...
Zum Vergrößern anklicken....
Bei sshd (OpenSSH) kann die Benutzung des Banners konfiguriert werden. Der Banner ist aber anscheinend nicht das Problem. Hier ein Beispiel für den gepatchten sshd, mit Banner:
:~$ telnet -a <IP-Adresse> <Port>
Trying <IP-Adresse>...
Connected to <IP-Adresse>.
Escape character is '^]'.
SSH-2.0-OpenMousetrap 13.8
Zum Vergrößern anklicken....
:~$ ssh -oPort=<Port> root@<IP-Adresse>
Go away, you bad hacker!
...
Zum Vergrößern anklicken....
Wenn vsftpd mit inetd und Banner benutzt wird, kann mit telnet nichts "Brauchbares" angezeigt werden:
:~$ telnet -a <IP-Adresse> <Port>
Trying <IP-Adresse>...
Connected to <IP-Adresse>.
Escape character is '^]'.
421 Service not available.
Connection closed by foreign host.
Zum Vergrößern anklicken....
vsftpd kann auch mit der libwrap (... für hosts.allow) kompiliert werden.

EDIT:

Code: 
root@fritz:/var/mod/root# ldd $(which vsftpd) | grep libwrap
	libwrap.so.0 => /usr/lib/freetz/libwrap.so.0 (0x2aaf3000)
 
Zuletzt bearbeitet:
sf3978 schrieb:
Bei sshd (OpenSSH) kann die Benutzung des Banners konfiguriert werden. Der Banner ist aber anscheinend nicht das Problem.
Zum Vergrößern anklicken....
Ja, hier ist (leider) das Banner gemeint welches ausgegeben wird wenn der Benutzer bekannt ist (nach Eingabe von Benutzernamen, vor Eingabe des Passwortes).
Ich denke da hilft wirklich nur ein Patch.

koy
 
Zuletzt bearbeitet:
koyaanisqatsi schrieb:
Ja, hier ist (leider) das Banner gemeint welches ausgegeben wird wenn der Benutzer bekannt ist (nach Eingabe von Benutzernamen, vor Eingabe des Passwortes).
Ich denke da hilft wirklich nur ein Patch.

koy
Zum Vergrößern anklicken....

Ist bei Dropbear genauso, wenn man die Option "-b bannerfile" verwendet. Nutzt aber auch hier nichts gegen den Rückgabewert von "telnet -a".
 
dropbear 'Banner'

Vielleicht geht dieser 'Hack':
boleeme schrieb:
if you dont want to recompile, you can replace this string to another with same length with find-and-replace tool sed

cp /usr/sbin/dropbear /tmp/dropbear-tmp
sed -i 's/SSH-2.0-dropbear_0.52/foo-bar-foo-bar-foo-b/g' /tmp/dropbear-tmp

now you can stop /usr/sbin/dropbear and use /tmp/dropbear-tmp with needed switches
Zum Vergrößern anklicken....

EDIT: Ich lösch diesen Beitrag auch gerne wieder wenn er euch zu 'schmutzig' ist

(Suchen und ersetzen in einer Binary? <Skeptik>)
Wer mags antesten?
koyaanisqatsi: ich ich ich

Also das Ergebnis ist (Heureka das ist ja easy):
/bin/ash schrieb:
telnet -a 127.0.0.1 222
foo-bar-foo-bar-foo-b
Zum Vergrößern anklicken....

Der Trick ist wohl, dass der auszutauschende String exakt soviele Zeichen haben muss wie das Original:
SSH-2.0-dropbear_0.52 = 21 Zeichen
foo-bar-foo-bar-foo-b = 21 Zeichen
EDIT: Ein Versuch zu verbinden misslang allerdings (Binärdatei kaputt!!!)
Jetzt sind die Patcher gefragt!

mit verschmitzten Grüßen....

koy
 
Zuletzt bearbeitet:
Auf den "großen" Linuxen mit "vernünftigen" Paketen war ich damals relativ schnell fündig. Allerdings hieß es dann OpenSSH anstatt von dropbear, proftpd anstatt vsftpd usw. Bei boxoptimierten schlanken Varianten der erwähnten Pakete muss ich allerdings passen. Da kann es sein, dass die Strings fest einkompilliert sind ud nicht so einfach wegzuoptimieren wären. Allerdings würde ich auch da über die Sourcen gehen und keine fertigen Binaries mit sed editieren.

MfG
 
Moin,
Da diese Banner hardcoded sind und sed zwar austauscht aber die Binärdatei kaputtmacht ist obengenannte Methode natürlich keine Lösung.
Aber, wenn man die Sourcen hat, würde diese Methode, auf den Sourcecode angewendet, funktionieren.

Grüße,

koy
 
Geht auch. Hier mal zwei Versionen.
Eine gibt vor, OpenSSH auf Ubuntu zu sein (falls es auf Port 22 laufen sollte, macht es wohl wenig Sinn zu zeigen, dass man was zu verstecken hat, sondern eher, einen "Angreifer" zu täuschen ;-))
Die andere sollte sich als "fake" melden
 

Anhänge

  • dropbearmulti_fake_mipsel_static.gz
    154.6 KB · Aufrufe: 7
  • dropbearmulti_fake_openssh_mipsel_static.gz
    154.6 KB · Aufrufe: 6
  • dropbear_standalone_scp_and_own_ident.patch.gz
    1.3 KB · Aufrufe: 4
Zuletzt bearbeitet:
:done:great thxalot
 
Hallo,
möchte nun noch berichten wie ich mich entschieden habe :
Verlegung des Standard-Ports ! Seither ist Ruhe mit den Angriffen.
Gruss
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 910 (Mitglieder: 39, Gäste: 871)

Neueste Beiträge

Statistik des Forums

Themen
246,149
Beiträge
2,246,944
Mitglieder
373,667
Neuestes Mitglied
klaus_werner
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück