Зафиксирована новая ботнет-сеть, распространяющаяся через подбор паролей по SSH
В заметке "Rickrolled? Get Ready for the Hail Mary Cloud!" рассказано о новой распределенной ботнет-сети, специализирующейся на проникновении путем подбора паролей через SSH. Классические методы блокирования "brute force" атак слабо помогают против новой сети, так как с одного IP адреса производится лишь несколько попыток проверки - в подборе участвуют несколько тысяч машин, каждая из которых перебирает относительно небольшой диапазон вариантов перебора.Поставленный эксперимент показал, что к одной из тестовых машин была зафиксирована однородная активность по подбору типовых паролей с 1767 хостов, трафик с которых не носил аномальный характер, а был равномерно распределен во времени, не достигая порога реагирования со стороны систем по блокированию атак. Несмотря на кажущуюся абсурдность идеи подбора паролей, неуклонный рост числа хостов ботнета показывает, что сеть не испытывает недостатка в хостах с типовыми или заведенными по умолчанию аккаунтами.
Для повышения безопасности можно порекомендовать оставить вход по SSH только для доверительных сетей (через пакетный фильтр, /etc/hosts.allow или директиву "AllowUsers логин@маска_сети логин2@маска_сети2..." в файле конфигурации /etc/ssh/sshd_config). Если необходимо оставить SSH публичным, имеет смысл перенести сервис на нестандартный сетевой порт ("Port N" или "ListenAddress IP:port"). Кроме того, следует убедиться, что в конфигурации запрещен прямой вход пользователя root (PermitRootLogin no).
© OpenNet