Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Un botnet tente de brute-forcer des comptes SSH

août 2010 par CERT-XMCO

* Botnet attacks SSH servers

 Date : 16 Aout 2010

 Gravité : Elevée

 Description :

Un botnet serait actuellement en train d’essayer de trouver plusieurs comptes SSH valides sur différents serveurs.

Le botnet, surnommé "dd_ssh" du nom du fichier qu’il installe sur les machines compromises, est un botnet basé sur des serveurs compromis. Au lieu de compromettre des machines de travail, celui-ci tente de compromettre des serveurs, disposant d’une puissance et d’une bande passante souvent bien supérieures. Le malware exploite plus précisément une vulnérabilité référencée CVE-2009-1151 présente dans les anciennes versions de phpMyAdmin (antérieures à 2.11.9.5 et antérieures à 3.1.3.1). Une fois la machine infectée, elle est utilisée afin d’effectuer des attaques de brute-force sur des serveurs SSH dans le but de trouver des comptes valides.

Cette technique prend tout son sens pour un pirate. En effet, utiliser un grand nombre de machines pour effectuer un petit nombre de tentatives de connexion permet de passer plus ou moins inaperçu, et rend l’établissement d’une "black list" plus difficile pour les administrateurs.

 Référence :

http://www.h-online.com/security/news/item/Botnet-attacks-SSH-servers-1057642.html

http://www.theregister.co.uk/2010/08/12/server_based_botnet/

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1037


Voir les articles précédents

    

Voir les articles suivants