Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Xmco Partners : des attaques SSH distribuées identifiées sur Internet

décembre 2008 par XMCO PARTNERS

- Date : 09 Decembre 2008

- Programme : ssh

- Gravité : Elevée

- Exploitation : Distante

- Description :

De nouvelles attaques SSH ont été identifiées sur Internet. En effet, un groupe de pirate utilise actuellement un botnet afin de tenter de pénétrer des serveurs SSH disponibles sur Internet.

Les serveurs SSH peuvent être configurés afin de ralentir une attaque SSH provenant de la même adresse IP (ajout d’un temps de latence entre chaque essai). Des logiciels de "blacklistes" (DnyHosts, BruteForceBlocker ou encore fail2ban) permettent aussi de "blacklister" certaines adresses IP après quelques tentatives infructueuses.

Avec l’utilisation d’un botnet (nombreuses machines compromises), les attaques proviennent donc d’adresses IP différentes. Ce type d’attaque n’est pas nouveau. Cependant, il semble qu’une véritable coordination entre les machines infectées ait été mise en place. Ainsi, une première machine tente de se connecter sur le serveur SSH cible puis donne la main à une deuxième machine chargée, elle aussi, de continuer la liste des "login/mot de passe" créée par les pirates.

Chacune des machines du botnet sera réutilisée plus tard déjouant ainsi les protections mises en place sur les serveurs SSH.

Les attaques répertoriées concernent uniquement les serveurs SSH installés sur le port 22. La première protection consiste donc à changer le port par défaut du serveur SSH.

- Référence :

http://asert.arbornetworks.com/2008/12/distributed-ssh-brute-force-attacks/

http://www.heise-online.co.uk/security/Distributed-SSH-attacks-bypass-blacklists—/news/112174

- Lien extranet XMCO : http://xmcopartners.com/veille/client/index.xmco?nv=1228821028




Voir les articles précédents

    

Voir les articles suivants