[plamo:12743] SSH-1.0-SSH_Version

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:12743] SSH-1.0-SSH_Version_Mapper (scanssh)

From:MOUE Kiyoshi

Date:Sun, 27 Jan 2002 13:20:19 +0900

Subject: [plamo:12743] SSH-1.0-SSH_Version_Mapper (scanssh)
From: MOUE Kiyoshi<zebra7@xxxxxxxxxxxxxxxxxx>
Date: Sun, 27 Jan 2002 13:20:19 +0900
Posted: Sun, 27 Jan 2002 13:19:47 +0900

----+----1----+----2----+----3----+----4----+----5----+----6----+----7

MOUE＠雨は小降りになったが、風がすごい、暴風雨注意報がでてるです。

うちでは、ssh の 22 番だけ開けてあるのですが、最近 syslog に
こんなのが出てきました。

sshd[2880]: scanned from 24.132.216.229 with SSH-1.0-SSH_Version_Mapper.
Don't panic.
sshd[2879]: Did not receive identification string from 24.132.216.229.
sshd[4739]: Did not receive identification string from 216.234.34.180.

そこで、SSH-1.0-SSH_Version_Mapper で検索してみたところ、
http://lists.insecure.org/incidents/2001/Dec/0241.html
ここにまったく同じ状況があり、続くスレッド、
http://lists.insecure.org/incidents/2001/Dec/0242.html
によると、
「The software located at http://www.monkey.org/~provos/scanssh/
produces log entries as mentioned above.」
ということらしいのです。

更に、
http://lists.insecure.org/incidents/2001/Dec/0246.html
http://lists.insecure.org/incidents/2001/Dec/0257.html
によると、
-----------------------------------------------------------------
The SSH-1.0-SSH_Version_Mapper is from a scanning tool called scanssh.
You can find it at http://www.monkey.org/~provos/scanssh/

I've seen a substantial increase in ssh scans over the last month or so.
Probably a result of the recent vulnerablities listed on CERT.

There seem to be two types of scanning going on, one that looks like
scanssh. Then another that's a SYN scan, with a normal reconnect to port
22 if the first scan found anything open.
-------------------------------------------------------------------
> There seem to be two types of scanning going on, one that looks like
> scanssh. Then another that's a SYN scan, with a normal reconnect to
> port 22 if the first scan found anything open.

scanssh -p will do that, maybe that is what is going on:

-p ifaddr
Specifies the address of the local interface. This is used to
speed up the scanning by pre-probing the addresses with TCP-SYN
packets.
----------------------------------------------------------------------

で、これは scanssh の仕業であるとわかりました。

そこで自分で入れて試してみました。
もちろん、自分の所だけ調べたのですが、

scanssh による出力は、
$ scanssh 192.168.1.0/24
該当するアドレス SSH-1.99-OpenSSH_3.0p1

といった風になります。

この時の syslog には、
sshd[14961]: scanned from 192.168.1.40 with SSH-1.0-SSH_Version_Mapper.
Don't panic.

option に -I をつけて試すと、
sshd[15009]: Did not receive identification string from 192.168.1.40.

こういう出力になりました。

これを使って SSH のバージョンを調べ、弱点をついてくる輩が居ると
いうことになりますから、開けておくならセキュリティー情報から目が
離せませんね。

--
+----------+----------+----------+----------+----------+
MOUE
zebra7@seagreen.ocn.ne.jp << Plamo Linux >>
kmoue@plamo.linet.gr.jp << Plamo Documentation Project >>

Follow-Ups
: [plamo:12744] Re: SSH-1.0-SSH_Version_Mapper (scanssh), 早間義博

Prev by Date: [plamo:12742] Re: plamo 2.2.1 pc-98 video and netscape and w3m
Next by Date: [plamo:12744] Re: SSH-1.0-SSH_Version_Mapper (scanssh)
Previous by thread: [plamo:12773] Re: plamo 2.2.1 pc-98 video and netscape and w3m
Next by thread: [plamo:12744] Re: SSH-1.0-SSH_Version_Mapper (scanssh)
Index(es):
- Date
- Thread

[検索ページ] [メール一覧]
Plamo ML 公開システム