Comments | securityblogru: Распределенный подбор паролей к ssh

ex_ivlad in securityblogru

Распределенный подбор паролей к ssh

Dec 09, 2008 00:31

Раньше злоумышленники подбирали пароли к ssh довольно примитивными способами: каким-нибудь скриптом для expect, запускаемом на взломанном сервере.

Выглядит это очень шумно, примерно так:
Dec 7 12:44:17 iddater sshd[18400]: Address 218.28.20.135 maps to pc0.zz.ha.cn, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Dec 7 12: ( Read more... )

solaris, аутентификация, linux, attack, securid, openssh, botnet, пароли

Comments 38

dewil December 9 2008, 01:55:35 UTC

Первым делом после сетапа ОС я меняю стандартный порт для SSH.
И все подборы проходят мимо.

ex_ivlad December 9 2008, 02:10:02 UTC

это не всегда удобно, если где-то по пути есть файервол.

dewil December 9 2008, 02:14:49 UTC

ни разу не попался :)
кто по пути будет фильтровать, и на каком основании?
свои порты я сам фильтрую.

ex_ivlad December 9 2008, 02:17:27 UTC

вы никогда из корпоративных сетей, видимо, не подключались. к слову, я уверен, что, если доля ssh-серверов на нестандартных портах станет сколько-нибудь значимой, боты будут просто сканировать хосты целиком, хотя, как я в посте написал, сейчас это в качестве workaround'а работает.

Thread 14

e1am0 December 9 2008, 09:40:34 UTC

Что-то часто последнее время стала всплывать тема ссх хаков. пароль что ли поменять... а то уже лет 8 наверное не менял...
Кстати, не очень понял, почему боты для этой цели стали использовать только сейчас. Ведь эта идея даже в анеке про китайцев, взломавших компьютеры пентагона, нашла отражение

ex_ivlad December 9 2008, 10:02:01 UTC

8 лет?! я начинаю задумываться о поговорке про сапожника без сапог. :)

> почему боты для этой цели стали использовать только сейчас.

недавно анекдот услышали? :) не знаю.

e1am0 December 9 2008, 11:50:49 UTC

быгыгы. ну это просто отношение к логину. плюс возможно недооценка опасности, помноженная на переоценку способностей хостера. сервер не мой ))) там где мне дорого, я периодически меняю. за одно тренируется память, а то поди запомни )))

cnst December 9 2008, 15:36:27 UTC

Если пароль не является словарным словом, то данный подбор паролей только создаёт дополнительную нагрузку на сервер и способствует излишнему пополнению логов. Так что на персональном сервере беспокоиться не о чем.

Кстати, помимо подбора паролей бот ещё должен подобрать и имя пользователя. :)

ex_ivlad December 9 2008, 16:42:34 UTC

разумеется, нужно подбирать пару login^password, но в качестве имени пользователя, по моему опыту, пробуют root, mysql, admin и т.п.

> Если пароль не является словарным словом

у меня на сервере ~20 пользователей. все, как один - IT-специалисты. Без pam_cracklib не поручусь, что среди паролей нет словарных слов.

cormix December 9 2008, 18:32:24 UTC

BSD удаленно под root'ом не пускает, надо зайти как юзер и получить права через su. Так что надо 1 логин и 2 пароля. Заметно сложнее подбирать.

ex_ivlad December 9 2008, 18:40:46 UTC

это все от настроек зависит. я знаю непустое множество людей, которые это разрешают. дело совершенно не в BSD.

cormix December 10 2008, 18:59:29 UTC

По дефолту именно так. И смысл изменять?

ex_ivlad December 10 2008, 19:14:27 UTC

не не пойму, почему вы мне этот вопрос задаете. я не изменяю. наблюдаю, что некоторые так делают. даже если бы они так не делали, имена пользователей, помимо root, можно тоже подбирать - некоторые широко распространены.

Thread 6

gq December 9 2008, 22:09:31 UTC

Что значит на днях? к нам на lvk.cs так с весны ломятся. Каждая атака идет несколько недель, пробую пользователей по словарю, паролей по 3 на пользователя, при чем ботнеты управляются централизованно, потому что ломятся по очереди, а имена идую по алфавиту. Сейчас вот идут kiria, kirie и т.д.

ex_ivlad December 9 2008, 22:41:07 UTC

хм, интересно. а сколько в суммарно попыток на одного пользователя получается? и какой тайминг? сколько паролей в сутки на одного пользователя проверяется?

gq December 10 2008, 13:58:20 UTC

куда тебе grep из лога за сутки кинуть?