image

Botnet achter nieuwe golf SSH-aanvallen

zondag 20 juni 2010, 10:17 door Redactie, 29 reacties

Het Internet Storm Center (ISC) waarschuwt voor een nieuwe golf van SSH-aanvallen, die vermoedelijk het werk van een of meerdere botnets zijn. "Het lijkt erop dat de SSH-aanvallen keyboard-interactive authenticatie gebruiken, in plaats van standaard wachtwoord authenticatie", zegt Tom Liston, handler bij het ISC. Verschillende netwerken zouden inmiddels zijn aangevallen. Aanvallers proberen via brute-force de inloggegevens voor SSH toegang tot een server te raden.

Botnet
Voor elke geprobeerde gebruikersnaam wordt een ander IP-adres ingezet, wat volgens het ISC teken is dat het om een of meerdere botnets gaat. Zodra aanvallers de juiste inloggegevens hebben, proberen ze vervolgens hun rechten te verhogen zodat ze volledige controle over de server krijgen.

Wie password authentication in de ssh_config met de optie 'PasswordAuthentication no' heeft uitgeschakeld, is volgens Liston niet beschermd tegen de laatste aanvallen. Om keyboard-interactive logins uit te schakelen, moet ook 'ChallengeResponseAuthentication no' zijn ingesteld. Dat is niet zonder risico. "Doe dit alleen als je weet wat je doet en weet dat het niets stuk maakt", zo waarschuwt de ISC-handler.

Reacties (29)
20-06-2010, 11:41 door ej__
Lang leve s/key en opie als het dan toch open moet staan. :D
20-06-2010, 11:50 door Knight Of The Post
ssh_config of sshd_config?
ssh_config is uitgaand en we hebben het toch over anderen die willen inloggen bij ons?(staat daar overigens ook)

En iedereen logt toch altijd in op een non-privileged account m.b.v. een key en doet dan su'en, nietwaar, vanwaar de paniek?
20-06-2010, 11:56 door ej__
sshd_config.

Omdat nadat is ingelogd (althans het password als werkend is doorgegeven door het botnet) ongetwijfeld een poging wordt gedaan om privilege escalation te bereiken. Soms door inloggen als root niet nodig, soms door exploits, soms doordat sudo verkeerd wordt gebruikt.

EJ
20-06-2010, 13:07 door Anoniem
@KnightOfThePost

Klopt, evenals ssh alleen toestaan van privileged IP adressen. Niks aan de hand dus.
20-06-2010, 13:28 door Widea
Sinds ik port knocking gebruik is het nog nooit zo rustig geweest: http://en.wikipedia.org/wiki/Port_knocking
20-06-2010, 14:59 door SirDice
Door Knight Of The Post: En iedereen logt toch altijd in op een non-privileged account m.b.v. een key en doet dan su'en, nietwaar, vanwaar de paniek?
De meeste zullen sudo gebruiken. Als men dan via brute-force een account heeft gekraakt heeft men ook direct root access (je moet immer je eigen wachtwoord gebruiken met sudo).
20-06-2010, 15:03 door ej__
Door SirDice:
Door Knight Of The Post: En iedereen logt toch altijd in op een non-privileged account m.b.v. een key en doet dan su'en, nietwaar, vanwaar de paniek?
De meeste zullen sudo gebruiken. Als men dan via brute-force een account heeft gekraakt heeft men ook direct root access (je moet immer je eigen wachtwoord gebruiken met sudo).
Dat zei ik al, een verkeerd geconfigureerde sudo... Je kunt sudo ook zo configureren dat je een ander wachtwoord nodig hebt. Een noodzaak m.i. als je root rechten met sudo uitdeelt.

EJ
20-06-2010, 16:09 door Knight Of The Post
@ EJ & SirDice:
Bedankt voor de toelichtingen.
20-06-2010, 17:24 door ej__
man sudoers leert ons het volgende, eigenlijk verplichte, commando: rootpw dit zou eigenlijk per default aan moeten staan...

EJ
20-06-2010, 17:59 door spatieman
bij een beetje SSH config, kan je de retry, eh ,laat maar, als voor de volgende atack een ander IP gebruikt worden heeft het verhogen van de SSH inlogtijd geen zin..
21-06-2010, 08:58 door SirDice
Door ej__: man sudoers leert ons het volgende, eigenlijk verplichte, commando: rootpw dit zou eigenlijk per default aan moeten staan...
Dan kun je net zo goed su gebruiken. Bijkomend voordeel op *BSD is dat alleen leden van de wheel groep su mogen uitvoeren.
21-06-2010, 09:14 door ej__
Door SirDice:
Door ej__: man sudoers leert ons het volgende, eigenlijk verplichte, commando: rootpw dit zou eigenlijk per default aan moeten staan...
Dan kun je net zo goed su gebruiken. Bijkomend voordeel op *BSD is dat alleen leden van de wheel groep su mogen uitvoeren.
Jij gebruikt sudo dus omdat je lui bent? man sudo en man su leren je de verschillen. Die zijn er. Significant. En je diskwalificeert je nu wel als security deskundige, dat begrijp je wel?

EJ
21-06-2010, 09:16 door ej__
Door ej__:
Door SirDice:
Door ej__: man sudoers leert ons het volgende, eigenlijk verplichte, commando: rootpw dit zou eigenlijk per default aan moeten staan...
Dan kun je net zo goed su gebruiken. Bijkomend voordeel op *BSD is dat alleen leden van de wheel groep su mogen uitvoeren.
Jij gebruikt sudo dus omdat je lui bent? man sudo en man su leren je de verschillen. Die zijn er. Significant. En je diskwalificeert je nu wel als security deskundige, dat begrijp je wel?

Je voorkomt met de door jou genoemde oplossing op geen enkele manier inbraak en rootrechten als je wachtwoord wordt gejat zoals bijvoorbeeld in het artikel wordt genoemd.

Ook linux laat zich soortgelijk inrichten als *BSD, kijk maar eens hoe Ubuntu het doet.

EJ
21-06-2010, 10:00 door Anoniem
Bij mij is het een anderhalve week begonnen.

Een greep uit de aanval:

Jun 18 22:14:11 sshd[55921]: error: PAM: authentication error for illegal user grace from 81.130.192.86
Jun 18 22:16:13 sshd[55933]: error: PAM: authentication error for illegal user grant from up.upoli.edu.ni
Jun 18 22:19:58 sshd[55978]: error: PAM: authentication error for illegal user green from 83.19.20.250
Jun 18 22:20:48 sshd[55990]: error: PAM: authentication error for illegal user green from 187.5.14.1
Jun 18 22:23:10 sshd[56005]: error: PAM: authentication error for illegal user greg from 211.97.71.218
Jun 18 22:23:11 sshd[56008]: error: PAM: authentication error for illegal user greg from 213.172.54.121
Jun 18 22:26:33 sshd[56058]: error: PAM: authentication error for illegal user gregory from 196.211.66.58

Via SSHguard en Denyhosts houdt ik ze wel op afstand. Als het te gek wordt kwa spam betreft, dan scherm ik IP's wel af.
Denyhosts heeft inmiddels al 121 unieke IP's geblokkeerd.
21-06-2010, 10:39 door SirDice
Door ej__: Je voorkomt met de door jou genoemde oplossing op geen enkele manier inbraak en rootrechten als je wachtwoord wordt gejat zoals bijvoorbeeld in het artikel wordt genoemd.
Ja wel. Root heeft een ander wachtwoord dan een gebruiker. M.a.w. als een gebruikersaccount gekraakt wordt heeft men niet automatisch root. Uiteraard sta je niet toe dat root direct kan inloggen maar dat lijkt me duidelijk. Met rootpw vraagt sudo om het root wachtwoord i.p.v. de gebruiker z'n wachtwoord. Op een zelfde manier als "su - root" dat doet. Wat is het verschil dan?

Ook linux laat zich soortgelijk inrichten als *BSD, kijk maar eens hoe Ubuntu het doet.
Ubuntu? Daar waar elke gebruiker volledige sudo rechten heeft?

Als een gebruikersaccount is gekraakt welke volledige sudo rechten heeft (zoals het meestal staat) heeft een aanvaller ook direct root access. Men kan namelijk datzelfde wachtwoord gebruiken waarmee men het systeem is ingekomen.
21-06-2010, 11:03 door ej__
Door SirDice:
Door ej__: Je voorkomt met de door jou genoemde oplossing op geen enkele manier inbraak en rootrechten als je wachtwoord wordt gejat zoals bijvoorbeeld in het artikel wordt genoemd.
Ja wel. Root heeft een ander wachtwoord dan een gebruiker. M.a.w. als een gebruikersaccount gekraakt wordt heeft men niet automatisch root. Uiteraard sta je niet toe dat root direct kan inloggen maar dat lijkt me duidelijk. Met rootpw vraagt sudo om het root wachtwoord i.p.v. de gebruiker z'n wachtwoord. Op een zelfde manier als "su - root" dat doet. Wat is het verschil dan?

Logging, rbac indien nodig, zie man sudo en man su.


Ook linux laat zich soortgelijk inrichten als *BSD, kijk maar eens hoe Ubuntu het doet.
Ubuntu? Daar waar elke gebruiker volledige sudo rechten heeft?

Als een gebruikersaccount is gekraakt welke volledige sudo rechten heeft (zoals het meestal staat) heeft een aanvaller ook direct root access. Men kan namelijk datzelfde wachtwoord gebruiken waarmee men het systeem is ingekomen.

Bzzzt denkfout. Weet niet wanneer jij voor het laatst naar ubuntu hebt gekeken, maar wat bij *BSD wheel heet, heet daar adm. Eerst jezelf orienteren voordat je onzin uitkraamt. En je roept precies dat wat ik al zei waarom sudo altijd rootpw moet hebben. Sudo is ziek en voor luie domme admins tenzij je het goed inricht.

EJ
21-06-2010, 11:09 door SirDice
Door ej__: Logging, rbac indien nodig, zie man sudo en man su.
Iemand die dat gebruikt laat zich niet naaien door een botje wat bekende usernames/passwords probeert.

Bzzzt denkfout. Weet niet wanneer jij voor het laatst naar ubuntu hebt gekeken, maar wat bij *BSD wheel heet, heet daar adm.
Geen idee, lang geleden. Ik heb niks met Linux weet je nog? Het laatste waar ik mee heb zitten spelen kon elke gebruiker su uitvoeren. Op FreeBSD is dat zeker niet het geval (en een regelmatig terugkerend topic op forums).

En je roept precies dat wat ik al zei waarom sudo altijd rootpw moet hebben. Sudo is ziek en voor luie domme admins tenzij je het goed inricht.
Of gewoon default geen sudo installeren, zoals *bsd.
21-06-2010, 11:20 door ej__
Door SirDice:
Door ej__: Logging, rbac indien nodig, zie man sudo en man su.
Iemand die dat gebruikt laat zich niet naaien door een botje wat bekende usernames/passwords probeert.
O? Want? Better be safe than sorry.

Bzzzt denkfout. Weet niet wanneer jij voor het laatst naar ubuntu hebt gekeken, maar wat bij *BSD wheel heet, heet daar adm.
Geen idee, lang geleden. Ik heb niks met Linux weet je nog? Het laatste waar ik mee heb zitten spelen kon elke gebruiker su uitvoeren. Op FreeBSD is dat zeker niet het geval (en een regelmatig terugkerend topic op forums).
Nu niet meer dus.

En je roept precies dat wat ik al zei waarom sudo altijd rootpw moet hebben. Sudo is ziek en voor luie domme admins tenzij je het goed inricht.
Of gewoon default geen sudo installeren, zoals *bsd.

root@fw:~# which sudo
/usr/bin/sudo
root@fw:~# uname -a
OpenBSD fw.local 4.7 GENERIC#0 i386

root@fw:~# pkg_info
lzo2-2.03 portable speedy lossless data compression library
openvpn-2.1.0 easy-to-use, robust, and highly configurable VPN
rsync-3.0.7 mirroring/synchronization over low bandwidth links


Kortom, je kletst. Default install.Daarnaast heb ik iets meer vertrouwen in OpenBSD (en NetBSD) dan FreeBSD. De laatste is aardig de weg kwijtgeraakt. Graag eerst orienteren voordat je mensen op een verkeerd spoor zet.

EJ
21-06-2010, 11:53 door SirDice
Door ej__: root@fw:~# which sudo
/usr/bin/sudo
root@fw:~# uname -a
OpenBSD fw.local 4.7 GENERIC#0 i386

root@fw:~# pkg_info
lzo2-2.03 portable speedy lossless data compression library
openvpn-2.1.0 easy-to-use, robust, and highly configurable VPN
rsync-3.0.7 mirroring/synchronization over low bandwidth links
Geinig.

dice@maelcum:~>which sudo
sudo: Command not found.
dice@maelcum:~>uname -a
FreeBSD maelcum.dicelan.home 8.0-STABLE FreeBSD 8.0-STABLE #0: Tue Dec 29 14:29:39 CET 2009 root@molly.dicelan.home:/usr/obj/usr/src/sys/GENERIC i386
dice@maelcum:~>pkg_version -vI | grep sudo
dice@maelcum:~>
Kortom, je kletst. Default install.
default install.

Daarnaast heb ik iets meer vertrouwen in OpenBSD (en NetBSD) dan FreeBSD.
Ik niet.

De laatste is aardig de weg kwijtgeraakt.
Want?
21-06-2010, 12:04 door Anoniem
freebsd-update fetch / install en recompile kernel, zit nog op p0 :P.
21-06-2010, 12:31 door ej__
@SirDice:
Jij beweerde dat *BSD geen sudo installeerde in de default install. Dan is 1 bewijs van het tegendeel voldoende. Als je nauwkeuriger was geweest dan had je gezegd dat FreeBSD niet default sudo installeert. Verder heb je blijkbaar geen ervaring met de *BSD wereld. Ook met de diverse linux omgevingen heb je geen ervaring.

Ik kan nu niet zeggen dat dat een stevige basis is om absolute uitspraken te doen zoals jij die doet. Als je daarnaast niet weet wat voor ge-emmer er geweest is met de diverse FreeBSD versies, en met bijvoorbeeld multiprocessor ondersteuning daarin, en met de diverse poppetjes in het "bestuur" van FreeBSD dan geef je daarmee ook aan dat je kennis dienaangaande niet al te stevig is.

Enig idee waarom FreeBSD 4 nog altijd wordt gebruikt? 5, 6 en 7 blonken nu niet bepaald uit in stabiliteit...

@Anoniem 12:04: Veelzeggend he? ;)

EJ
21-06-2010, 13:24 door SirDice
Door ej__: @SirDice:
Jij beweerde dat *BSD geen sudo installeerde in de default install. Dan is 1 bewijs van het tegendeel voldoende. Als je nauwkeuriger was geweest dan had je gezegd dat FreeBSD niet default sudo installeert. Verder heb je blijkbaar geen ervaring met de *BSD wereld. Ook met de diverse linux omgevingen heb je geen ervaring.
Zowel NetBSD als FreeBSD doen het niet. Blijkbaar is er recent iets bij OpenBSD veranderd want in het verleden was sudo daar ook niet geinstalleerd.

Ik kan nu niet zeggen dat dat een stevige basis is om absolute uitspraken te doen zoals jij die doet. Als je daarnaast niet weet wat voor ge-emmer er geweest is met de diverse FreeBSD versies, en met bijvoorbeeld multiprocessor ondersteuning daarin, en met de diverse poppetjes in het "bestuur" van FreeBSD dan geef je daarmee ook aan dat je kennis dienaangaande niet al te stevig is.
Vreemd, nooit iets van gemerkt de afgelopen 10+ jaar.

Enig idee waarom FreeBSD 4 nog altijd wordt gebruikt?
Yep, third party software.

5, 6 en 7 blonken nu niet bepaald uit in stabiliteit...
Err. dan mis je toch iets.

freebsd-update fetch / install en recompile kernel, zit nog op p0 :P.
Beter kijken knul, ik draai -STABLE geen -RELEASE.
21-06-2010, 17:20 door ej__
@SirDice

OpenBSD installeert sudo pas sinds 2000 of nog eerder, je bent slecht geinformeerd, maar dat heb je al eerder in deze thread laten merken. Als ik jou was zou ik mijn grote mond maar eens dicht gaan houden, tenzij je jezelf natuurlijk nog verder belachelijk wilt maken. Dat staat je vrij. Ik reageer in ieder geval niet meer.

EJ
21-06-2010, 17:45 door SirDice
Door ej__: Als ik jou was zou ik mijn grote mond maar eens dicht gaan houden, tenzij je jezelf natuurlijk nog verder belachelijk wilt maken.
Ach. Ik probeer nog normaal te reageren maar met een dergelijke respons gaat dat niet echt lukken. Ik heb nooit beweerd de waarheid in pacht te hebben. Indien jij er meer in leest dan is dat jouw probleem, niet het mijne.
22-06-2010, 08:26 door Anoniem
leuk, het lijkt #hit2000 wel weer hier.
22-06-2010, 13:15 door ej__
@ SirDice:

Ik heb even een bloemlezing gemaakt van foutieve dan wel onzinnige opmerkingen. Het lijkt me vrij zinloos om dan te willen discussieren. Je bent heel slecht geinformeerd.

"De meeste zullen sudo gebruiken. Als men dan via brute-force een account heeft gekraakt heeft men ook direct root access (je moet immer je eigen wachtwoord gebruiken met sudo)."

Aantoonbaar onjuist (rootpw).

"Dan kun je net zo goed su gebruiken. Bijkomend voordeel op *BSD is dat alleen leden van de wheel groep su mogen uitvoeren."

Aantoonbaar onjuist, immers su geeft veel meer rechten dan sudo hoeft te geven. Tevens is logging anders. Zie voor verdere verschillen man su en man sudo.

"Ja wel. Root heeft een ander wachtwoord dan een gebruiker. M.a.w. als een gebruikersaccount gekraakt wordt heeft men niet automatisch root. Uiteraard sta je niet toe dat root direct kan inloggen maar dat lijkt me duidelijk. Met rootpw vraagt sudo om het root wachtwoord i.p.v. de gebruiker z'n wachtwoord. Op een zelfde manier als "su - root" dat doet. Wat is het verschil dan?"

Of je bent lui en wenst niet de diverse man pages op te roepen (of mijn reactie te lezen) of je weet er echt te weinig van. Ik hoop op het eerste.

"Ubuntu? Daar waar elke gebruiker volledige sudo rechten heeft?"

Wederom volkomen onjuist.

"Als een gebruikersaccount is gekraakt welke volledige sudo rechten heeft (zoals het meestal staat) heeft een aanvaller ook direct root access. Men kan namelijk datzelfde wachtwoord gebruiken waarmee men het systeem is ingekomen."

Niet mijn reactie gezien dat de default bij sudo eigenlijk slecht is, en alleen voor luie mensen is bedoeld?

"Of gewoon default geen sudo installeren, zoals *bsd."

Dat geldt alleen maar voor de door jou genoemde FreeBSD. NetBSD weet ik niet, het is al enige tijd geleden dat ik die heb gebruikt. Maar geldt NIET voor alle BSD's en dus NIET voor *bsd. Wederom een uitspraak die onjuist dan wel onvolledig is.

Tot dusver waren eigenlijk alle reacties op zijn minst onvolledig, toch claim je in je reacties absolute zekerheid. Zie de door jou gebruikte formuleringen, zie boven. QED EOT.

EJ
23-06-2010, 10:06 door Anoniem
SSH doe je toch altijd met RSA keypairs? Met 'PasswordAuthentication no' en 'ChallengeResponseAuthentication no' in de sshd_config?
Om binnen te komen heb je de private key nodig, waar een passphrase op zit. Als je daarna iets op het systeem wilt doen gebruik je sudo, waar weer een wachtwoord gevraagd wordt.
23-06-2010, 11:13 door Anoniem
Door Knight Of The Post: ssh_config of sshd_config?
En iedereen logt toch altijd in op een non-privileged account m.b.v. een key en doet dan su'en, nietwaar, vanwaar de paniek?
Iedereen? Dat zou ik toch niet durven zeggen. Kom af en toe de meest vreemde situaties tegen...
23-06-2010, 11:29 door ej__
Door Anoniem: SSH doe je toch altijd met RSA keypairs? Met 'PasswordAuthentication no' en 'ChallengeResponseAuthentication no' in de sshd_config?
Om binnen te komen heb je de private key nodig, waar een passphrase op zit. Als je daarna iets op het systeem wilt doen gebruik je sudo, waar weer een wachtwoord gevraagd wordt.
Nee, het _kan_ met RSA keypairs. Het is echt niet altijd mogelijk. Wil jij je USB stickje met de RSA key daarop in een onbekende computer stoppen en dan vervolgens de sleutel van je private key typen? Dank je, ik niet.

OTP is een betere oplossing voor dit soort situaties.

EJ
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.