У нататцы "Rickrolled? Get Ready for the Hail Mary Cloud!" расказана аб новай размеркаванай ботнет-сеткі, якая спецыялізуецца на пранікненні шляхам падбору пароляў праз SSH. Класічныя метады блакавання "brute force" нападаў слаба дапамагаюць супраць новай сеткі, бо з аднаго IP адрасы вырабляецца толькі некалькі спроб праверкі - у падборы ўдзельнічаюць некалькі тысяч машын, кожная з якіх перабірае адносна невялікі дыяпазон варыянтаў перабору.
Пастаўлены эксперымент паказаў, што да адной з тэставых машын была зафіксаваная аднастайная актыўнасць па падборы тыпавых пароляў з 1767 хастоў, трафік з якіх не насіў анамальны характар, а быў раўнамерна размеркаваны ў часе, не дасягаючы парога рэагавання са боку сістэм па блакаванні нападаў. Нягледзячы на ўяўную абсурднасць ідэі падбору пароляў, няўхільны рост ліку хастоў ботнета паказвае, што сетка не выпрабоўвае недахопу ў хастах з тыпавымі або заведзенымі па змаўчанні акаўнтамі.
Для падвышэння бяспекі можна парэкамендаваць пакінуць уваход па SSH толькі для даверных сетак (праз пакетны фільтр, /etc/hosts.allow або дырэктыву "AllowUsers лагін@маска_сеткі логин2@маска_сети2..." у файле канфігурацыі /etc/ssh/sshd_config). Калі неабходна пакінуць SSH публічным, мае сэнс перанесці сэрвіс на нестандартны сеткавы порт ("Port N" або "ListenAddress IP:port"). Акрамя таго, варта пераканацца, што ў канфігурацыі забаронены прамы ўваход карыстача root (PermitRootLogin no).
Зафіксаваная новая ботнет-сетка, якая распаўсюджваецца праз падбор пароляў па SSH
17 лістапада 2009
Каментароў (0)