Xmco Partners : des attaques SSH distribuées identifiées sur Internet
décembre 2008 par XMCO PARTNERS
– Date : 09 Decembre 2008
– Programme : ssh
– Gravité : Elevée
– Exploitation : Distante
– Description :
De nouvelles attaques SSH ont été identifiées sur Internet. En effet, un
groupe de pirate utilise actuellement un botnet afin de tenter de pénétrer
des serveurs SSH disponibles sur Internet.
Les serveurs SSH peuvent être configurés afin de ralentir une attaque SSH
provenant de la même adresse IP (ajout d’un temps de latence entre chaque
essai). Des logiciels de "blacklistes" (DnyHosts, BruteForceBlocker ou
encore fail2ban) permettent aussi de "blacklister" certaines adresses IP
après quelques tentatives infructueuses.
Avec l’utilisation d’un botnet (nombreuses machines compromises), les
attaques proviennent donc d’adresses IP différentes.
Ce type d’attaque n’est pas nouveau. Cependant, il semble qu’une véritable
coordination entre les machines infectées ait été mise en place.
Ainsi, une première machine tente de se connecter sur le serveur SSH cible
puis donne la main à une deuxième machine chargée, elle aussi, de
continuer la liste des "login/mot de passe" créée par les pirates.
Chacune des machines du botnet sera réutilisée plus tard déjouant ainsi
les protections mises en place sur les serveurs SSH.
Les attaques répertoriées concernent uniquement les serveurs SSH installés
sur le port 22. La première protection consiste donc à changer le port par
défaut du serveur SSH.
– Référence :
http://asert.arbornetworks.com/2008/12/distributed-ssh-brute-force-attacks/
http://www.heise-online.co.uk/security/Distributed-SSH-attacks-bypass-blacklists—/news/112174
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1228821028