CERT-XMCO : Un botnet tente de brute-forcer des comptes SSH
août 2010 par CERT-XMCO
* Botnet attacks SSH servers
– Date : 16 Aout 2010
– Gravité : Elevée
– Description :
Un botnet serait actuellement en train d’essayer de trouver plusieurs comptes SSH valides sur différents serveurs.
Le botnet, surnommé "dd_ssh" du nom du fichier qu’il installe sur les machines compromises, est un botnet basé sur des serveurs compromis. Au lieu de compromettre des machines de travail, celui-ci tente de compromettre des serveurs, disposant d’une puissance et d’une bande passante souvent bien supérieures. Le malware exploite plus précisément une vulnérabilité référencée CVE-2009-1151 présente dans les anciennes versions de phpMyAdmin (antérieures à 2.11.9.5 et antérieures à 3.1.3.1). Une fois la machine infectée, elle est utilisée afin d’effectuer des attaques de brute-force sur des serveurs SSH dans le but de trouver des comptes valides.
Cette technique prend tout son sens pour un pirate. En effet, utiliser un grand nombre de machines pour effectuer un petit nombre de tentatives de connexion permet de passer plus ou moins inaperçu, et rend l’établissement d’une "black list" plus difficile pour les administrateurs.
– Référence :
http://www.h-online.com/security/news/item/Botnet-attacks-SSH-servers-1057642.html
http://www.theregister.co.uk/2010/08/12/server_based_botnet/
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1037