原文:https://seclists.org/oss-sec/2018/q3/125
最新版本OpenSSH服务在接收到畸形的认证请求包时,会根据用户名的存在与否给出不同的响应,由此导致通过SSH服务枚举服务器的用户名。而/etc/passwd文件中存在的用户名均可验证,因此也可以用来枚举服务
1、验证方法
1、下载验证python脚本:https://bugfuzz.com/stuff/ssh-check-username.py
2、安装依赖包 pip install paramiko=2.4.1
3、python ssh_checkusername.py ip username –port 22
效果如下:
2、检测方法
在SSH服务日志文件/var/log/secure中,搜索incomplete message [preauth]可以找到攻击者IP
如下图:
3、修复方案
目前SSH没有对应的修复方案。切实可行的办法只有阻止攻击者IP对服务器的访问