Nieuws

Nieuwe SSH aanvallen omzeilen blacklist

dinsdag 9 december 2008, 12:01 door Redactie, 16 reacties

Uit een aantal recente incidenten blijkt dat er een nieuwe manier is om "brute-force" SSH aanvallen uit te voeren. In plaats dat de hosts van het SSH botnet razendsnel tussen IP-adressen switchen en keer op keer een "login fail" veroorzaken, gaat het nu georganiseerder. Ze proberen slechts één of twee keer van hetzelfde IP in te loggen voordat ze verder gaan, waarna een ander IP van het botnet een nieuwe inlogpoging uitvoert. Het IP-adres komt wel meerdere keren voor, maar met lange tussenpauzen. Simpele, lokale IDS's (Intrusion Detection Systeem) geven zich dan al snel gewonnen. Een bijkomend feit is dat ze zich op hele specifieke SSH servers richten. Afhankelijk van de grootte van de aanval, kan een "distributed" SSH aanval voor duizenden inlogpogingen op een één account zorgen.

Detectie systeem
Onderzoeker Jamie Riden ontdekte de aanval toen hij in plaats van de gebruikelijke 20.000 dagelijkse alerts, nu ruim 200.000 meldingen in het Instrusion Detection System (Snort) zag, dat alarm slaat op basis van de "potential SSH scan" rule. Riden wist direct dat er iets niet in de haak was en dat er in het weekend enorm veel kwaadaardige activiteiten hadden plaatsgevonden. Een van de machines die meehielp met de aanval bevond zich in het netwerk van de beveiliger.

"De eigenaar was erg verrast toen hij hoorde wat er aan hand was. Ik haalde de machine direct uit het netwerk", gaat Riden verder. "Hierna heb ik de computer met een op Knoppix-gebaseerd besturingssysteem opgestart, zodat ik een kijkje kon nemen in het besturingssysteem. Als je denkt dat er kans is in de rechtszaal te belanden, raad ik aan voorzichtiger te zijn dan ik was, en Backtrack te gebruiken, dat speciaal voor dit soort incidenten ontworpen is", aldus de onderzoeker. Toen hij de /var/log/auth.log onderzocht, kwam naar voren dat de machine wachtwoorden probeerde te raden op de "openssh daemon" server. De computer van het slachtoffer scande ook op andere netwerken naar SSH servers. De conclusie was dan ook dat de computer zelf overgenomen was door middel van "password-guessing". In artikel zelf is te lezen hoe het ssh-entries-log eruit zag.

Blacklisting
Een mogelijk antwoord op de aanvallen lijkt een blacklist te zijn, die het aantal gefaalde inloginpogingen van één IP-adres telt en vervolgens adressen die de opgegeven interval overschrijden, op een blacklist of als rule in de firewall plaatst. Het systeem houdt vervolgens verdere inlogpogingen van desbetreffende IP-adres tegen. Een andere oplossing is een andere poort toekennen aan SSH. Deze manier is niet waterdicht, omdat aanvallers via een poortscan alsnog de SSH poort kunnen achterhalen. Verder kunnen gebruikers als alternatief cryptografische sleutels gebruiken. Uit deze cijfers blijkt dat brute-forcers "root" als gebruikersaccount en "123456" en "password" het vaakst als wachtwoord proberen.

Justitie mist kennis voor bestrijding cybercrime

Microsoft wil zoekopdrachten half jaar bewaren

Reacties (16)

09-12-2008, 12:15 door Michel1973

Het wordt steeds spannender, daar ga ik met mijn beveiliging 3e keer verkeerd login hopla de deny.host file in jij :)

1 goede les schakel root login altijd uit als je ssh poort voor buiten open hebt, maak gewone een aparte user met root privileges aan :)

root:x:0:0:root:/root:/sbin/nologin

Werkt zeer effectief :)

09-12-2008, 12:51 door Anoniem

Vooral handig als je ooit eens iets als root moet opstarten en dus niet meer kunt su-en ...

gewoon root login disablen binnen SSH is veel verstandiger.. of alleen met een key rootlogin toestaan:

PermitRootLogin no
of
PermitRootLogin without-password

09-12-2008, 12:52 door [Account Verwijderd]

[Verwijderd]

09-12-2008, 12:57 door Anoniem

Zelf heb ik alleen private/public key autorisatie aan staan. Met een gebruikersnaam en "handmatig" ingetypt wachtwoord kom er helemaal niet in.

09-12-2008, 13:02 door Michel1973

Door AnoniemVooral handig als je ooit eens iets als root moet opstarten en dus niet meer kunt su-en ...

gewoon root login disablen binnen SSH is veel verstandiger.. of alleen met een key rootlogin toestaan:

PermitRootLogin no
of
PermitRootLogin without-password

Je hebt gelijk maar als je deze user ook root maakt hoef je niet te su en en ja ik weet het nooit slim om volledige root acces te gebruiken maar ik heb genoeg vertrouwen in me zelf :)

09-12-2008, 13:12 door TraxDigitizer

SSH poort wordt inderdaad vaak aangevallen, mijn logs stonden er vol mee. Sinds kort block ik alle SSH-traffic voor niet-nederlandse IPs. Het aantal SSH-attacks is daarmee terug gegaan van zo'n 500 pogingen per dag tot een aantal wat op twee handen te tellen is. Misschien handig voor meer mensen: http://www.dennisbaaten.com/2008/11/20/alleen-nederlandse-ip-adressen/

09-12-2008, 13:52 door Michel1973

Door IceyoungDe techniek !! hierachter is al oud hoor.

Met behulp van Access Diver en een lijst met IP adressen van Transparant Proxy's "testte" ik jaren gelden al, natuurlijk in een compleet geconditioneerde testomgeving, Brute Force aanvallen.
Voor diegene die het niet kennen:

Je start Access Diver op
Vult een login acount in (bijv. admin)
Hangt daar een "password woordenboek lijst"aan.
Importeert een lijst met IP adressen van Anonimous Proxies over de gehele wereld (kun je ook weer eerst even laten testen)
En dan laat je gerouleerd inloggen.
Je gaat lekker TV kijken en als je Ping Pong hoort dan ben je binnen.

Hacken voor Dummies dus ( uhhh volgens mij diskwalificeer ik mezelf met deze uitspraak ;-)

Google maar eens op Access Diver en bekijk de filmpjes eens, of download het en test het eens uit op je LAN of bij een vriend die je dan eerst even op de hoogte brengt om politiek correct te blijven.

Is dit niet alleen voor HTTP bruteforcing voornamelijjk voor .htaccess / .htpasswd protected websites zoals veelal gebruikt wordt voor het hacken sex sites :)

Wist niet dat het ook werkte voor ssh dacht alleen maar voor poort 80 / 8080 :)

Tenminste dat was een x aantal jaren gelden toen ik het zelf ook gebruikte :)

09-12-2008, 14:40 door [Account Verwijderd]

[Verwijderd]

09-12-2008, 15:52 door Anoniem

Port knocking rulez

gG

09-12-2008, 16:08 door Anoniem

Ook voor mij is port-knocking de ideale oplossing, alleen wat lastig als je op een lijn zit met veel geblokkeerde poorten, maar ja, da's dan even pech :-) Buiten die beperking kan ik vanaf ieder IP adres inloggen, en toch houd je de rest buiten de deur.

09-12-2008, 18:31 door Anoniem

Door Michel1973Het wordt steeds spannender, daar ga ik met mijn beveiliging 3e keer verkeerd login hopla de deny.host file in jij :)

1 goede les schakel root login altijd uit als je ssh poort voor buiten open hebt, maak gewone een aparte user met root privileges aan :)

root:x:0:0:root:/root:/sbin/nologin

Werkt zeer effectief :)

en hoe configureer jij nu je systeem?
(want je kan niet meer inloggen!)

09-12-2008, 19:49 door SirDice

Ik neem die brute-forcers wel voor lief. Die accounts met die wachtwoorden werken toch niet.

09-12-2008, 22:58 door spatieman

ik weet dat er iets bestaat als verkeerd passwordt na X keer, kick, en dan wordt je IP geduurende een X aantal seconden in een firewall gepleurt.
na iedere misluckte poging wordt X aantal seconden steeds langer en langer...... en langer..................................

09-12-2008, 23:31 door Anoniem

Door spatiemanik weet dat er iets bestaat als verkeerd passwordt na X keer, kick, en dan wordt je IP geduurende een X aantal seconden in een firewall gepleurt.
na iedere misluckte poging wordt X aantal seconden steeds langer en langer...... en langer..................................

Ik denk dat je Denyhosts bedoelt. Een echte aanrader wat mij betreft.
Verder helpt het als je in /etc/ssh/sshd_config "AllowUser" gebruikt, alleen accounts die daar staan mogen remote inloggen. Tot slot scheelt het ook een hoop als je je SSH-server op een andere poort configureert.

10-12-2008, 09:27 door [Account Verwijderd]

[Verwijderd]

11-12-2008, 12:11 door Anoniem

Port-knocking kan, maar een ssh_allow regel voor alle domeinen waarvan je systeembeheer pleegt zijn wat mij betreft veel simpeler en overzichtelijker. Op een computer die je niet geïnstalleerd hebt of in je beheer hebt, is het onverantwoord om wachtwoorden in te voeren. Keyloggers zijn de normaalste zaak van de wereld tegenwoordig.

Dus:
- inloggen in het buitenland niet doen, tenzij je je eigen laptop meeneemt. Doe je dat wel, omdat de nood aan de man is, dan collega wachtwoord laten veranderen vanaf het werk.
- alleen inloggen bij managed servers van klanten op het werk of vanaf thuis.

Voor de meeste mensen resteert dan ook alleen het eigen IP-adresblok van thuis en eventueel vanaf werk of een colocatie. Dat zijn dus maximaal drie allow-regels.

Patrick

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer