-
Зафиксирована новая ботнет-сеть, распространяющаяся через подбор паролей по SSH
В заметке "Rickrolled? Get Ready for the Hail Mary Cloud!" рассказано о новой распределенной ботнет-сети, специализирующейся на проникновении путем подбора паролей через SSH, сообщает opennet.ru. Классические методы блокирования "brute force" атак слабо помогают против новой сети, так как с одного IP адреса производится лишь несколько попыток проверки - в подборе участвуют несколько тысяч машин, каждая из которых перебирает относительно небольшой диапазон вариантов перебора. Поставленный эксперимент показал, что к одной из тестовых машин была зафиксирована однородная активность по подбору типовых паролей с 1767 хостов, трафик с которых не носил аномальный характер, а был равномерно распределен во времени, не достигая порога реагирования со стороны систем по блокированию атак. Несмотря на кажущуюся абсурдность идеи подбора паролей, неуклонный рост числа хостов ботнета показывает, что сеть не испытывает недостатка в хостах с типовыми или заведенными по умолчанию аккаунтами. Для повышения безопасности можно порекомендовать оставить вход по SSH только для доверительных сетей (через пакетный фильтр, /etc/hosts.allow или директиву "AllowUsers логин@маска_сети логин2@маска_сети2..." в файле конфигурации /etc/ssh/sshd_config). Если необходимо оставить SSH публичным, имеет смысл перенести сервис на нестандартный сетевой порт ("Port N" или "ListenAddress IP:port"). Кроме того, следует убедиться, что в конфигурации запрещен прямой вход пользователя root (PermitRootLogin no).
Подробности
uinc.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А можно немного разъяснить - эта новость относится к тем у кого есть SSH клиент? Я что-то вообще ничего об SSH не знаю. По гуглу понял, что это аналог радмин и телнет. Правильно понял?))
-
Сообщение от
craftix
... эта новость относится к тем у кого есть SSH клиент?
Нет-нет... Лишь к тем, у кого установлен "публичный" SSH-сервер (или демон, в терминологии Unix), использующий стандартный порт (22).
-
-
Сообщение от
ALEX(XX)
Кроме того, следует убедиться, что в конфигурации запрещен прямой вход пользователя root
Интересно, а и такие дебилы есть? Вообще-то рут по-умолчанию не имеет правов на вход по ссш.
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Интересно, а и такие дебилы есть?
Наверное, имеются, коль об этом есть специальное упоминание! =)
-
-
Сообщение от
aintrust
Наверное, имеются, коль об этом есть специальное упоминание! =)
А, ну да
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Интересно, а и такие дебилы есть? Вообще-то рут по-умолчанию не имеет правов на вход по ссш.
Например в некоторых BSD имеет по умолчанию, и иногда это удобнее - например с помощью winscp и подобных программ которые не умеют пользователя менять в процессе управлять файловой системой.В любом случае, по возможности порт стоит держать нестандартным и стойкий пароль того пользователя, который может так зайти. Ну и забывать обновлять этот сервис, который с правами root тоже нельзя.
-
Сообщение от
gdn
Например в некоторых BSD имеет по умолчанию
Мда, ИМХО, это клиника..
Left home for a few days and look what happens...
-
-
Сообщение от
gdn
Например в некоторых BSD имеет по умолчанию
Ну ка с этого места поподробнее, под FreeBSD начиная с 4.4 и по 7.0 я такого не встречал.
-
-
Сообщение от
Torvic99
Ну ка с этого места поподробнее, под FreeBSD начиная с 4.4 и по 7.0 я такого не встречал.
OpenBSD