关键信息总结 1. 已知问题:地址采集 描述:如果使用SSH,客户端会在用户的主目录中存储一个列表,映射每个远程主机的名称和IP地址及其公钥。这个数据库被称为 文件,已被攻击者用于攻击用户账户,窃取密码和身份密钥,然后利用主机列表识别那些可以使用相同密码或密钥攻击的其他账户目标。蠕虫可能会利用 数据来识别新的攻击目标。 2. 数据采集中存在的问题证据 统计数据:截至2005年9月12日,从179个主机收集到了 数据,其中69个主机运行了以root身份运行的脚本并从所有用户账户提交了数据。总计收到了37,771条匿名的 条目。这些条目映射到了107个有效的IP网络中的12,041个有效的IP地址(占所有有效网络的67%)。 意外发现:数据收集脚本也解析了SSH2身份密钥文件,发现这些密钥文件中只有38.3%的标识用加密标志设置了加密。 3. 如何贡献数据到研究中 利用脚本收集数据:在UNIX及其衍生系统(如BSD,Linux和Sun)上,下载 。在有wget的环境里,可以从命令行使用 命令从http://nms.csail.mit.edu/projects/ssh获取数据。将文件解压后,执行四个命令:解压、进入目录、构建和运行Perl脚本收集数据。 数据传递建议:如果用户在防火墙后,建议采用电子邮件方式提交数据。提交的数据会先加密,无论如何传输。 注意事项:如果以root身份运行脚本,则将收集无法访问的数据。如果要以root身份运行脚本并使用NIS和LDAP,需参考README部分II的附加步骤。 4. 如何保护我的 升级解决方案:OpenSSH4.0版引入了 哈希方案,升级到这个版本能为系统提供主机哈希功能,但需手动配置和格式转换。 补丁选项:针对不愿升级到全新版本OpenSSH的用户,提供了针对OpenSSH3.9和3.9p1的补丁,哈希 文件中的主机名和IP地址。值得注意的是,该哈希方案与后续OpenSSH4.0中引入的不兼容,因此用户如果选择现在使用,并且后期再升级到4.0版,他们将无法使用升级后添加到 中的条目。 5. 附加信息 研究论文与演讲:相关论文标题为《SSH应对地址采集》。此外,研究团队于2005年5月9日在CCGrid 2005会议上做了相关研究的部分成果报告。 其它曝光:他们的研究还在Techworld、eWeek、布鲁斯·施耐尔博客以及《纽约时报》中有关于Cisco的入侵都用到了SSH的报道。