Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Xmco Partners : des attaques SSH distribuées identifiées sur Internet

décembre 2008 par XMCO PARTNERS

 Date : 09 Decembre 2008

 Programme : ssh

 Gravité : Elevée

 Exploitation : Distante

 Description :

De nouvelles attaques SSH ont été identifiées sur Internet. En effet, un
groupe de pirate utilise actuellement un botnet afin de tenter de pénétrer
des serveurs SSH disponibles sur Internet.

Les serveurs SSH peuvent être configurés afin de ralentir une attaque SSH
provenant de la même adresse IP (ajout d’un temps de latence entre chaque
essai). Des logiciels de "blacklistes" (DnyHosts, BruteForceBlocker ou
encore fail2ban) permettent aussi de "blacklister" certaines adresses IP
après quelques tentatives infructueuses.

Avec l’utilisation d’un botnet (nombreuses machines compromises), les
attaques proviennent donc d’adresses IP différentes.
Ce type d’attaque n’est pas nouveau. Cependant, il semble qu’une véritable
coordination entre les machines infectées ait été mise en place.
Ainsi, une première machine tente de se connecter sur le serveur SSH cible
puis donne la main à une deuxième machine chargée, elle aussi, de
continuer la liste des "login/mot de passe" créée par les pirates.

Chacune des machines du botnet sera réutilisée plus tard déjouant ainsi
les protections mises en place sur les serveurs SSH.

Les attaques répertoriées concernent uniquement les serveurs SSH installés
sur le port 22. La première protection consiste donc à changer le port par
défaut du serveur SSH.

 Référence :

http://asert.arbornetworks.com/2008/12/distributed-ssh-brute-force-attacks/

http://www.heise-online.co.uk/security/Distributed-SSH-attacks-bypass-blacklists—/news/112174

 Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1228821028


Voir les articles précédents

    

Voir les articles suivants