image

DDoS-botnet valt Linuxservers aan via SSH

zaterdag 7 februari 2015, 06:52 door Redactie, 5 reacties

Linuxservers zijn al enkele maanden het doelwit van een DDoS-botnet dat via SSH machines probeert over te nemen om ze vervolgens voor DDoS-aanvallen in te zetten. De aanval bestaat uit drie verschillende fases waarbij tienduizenden wachtwoorden worden geprobeerd om via SSH in te loggen.

Het botnet laat daarbij besmette machines een bepaald aantal keren inloggen voordat een volgend IP-adres voor het uitvoeren van de aanval wordt ingezet. Volgens beveiligingsbedrijf FireEye gebruiken de aanvallers onder andere een aangepaste versie van de Rock You-wachtwoordenlijst. In het geval de inlogpoging succesvol is wordt er meteen weer uitgelogd. Binnen 24 uur wordt er vanaf een ander IP-adres ingelogd. De aanvallers doen dit op een manier waarbij ze de standaard logging weten te omzeilen en zo geen sporen achterlaten.

Na te zijn ingelogd wordt uiteindelijk de "XOR.DDoS" malware geïnstalleerd. Op de honeypotservers van FireEye werden binnen drie maanden tijd bijna 1 miljoen inlogpogingen van de aanvallers waargenomen. Volgens onderzoekers van het bedrijf is XOR.DDoS één van de meer geavanceerde malwarefamilies voor Linux. Het ondersteunt daarnaast meerdere platformen, waaronder x86 en ARM. "Netwerkapparaten en embedded systemen zijn het kwetsbaarst voor SSH brute force-aanvallen", stelt analist Michael Lin.

Hij merkt op dat het niet altijd mogelijk of duidelijk is voor een eindgebruiker hoe dit soort systemen tegen deze aanvallen beschermd kunnen worden. Gebruikers krijgen echter het advies om hun SSH-server zo in te stellen dat er encryptiesleutels worden gebruikt in plaats van wachtwoorden. Verder wordt er geadviseerd om het op afstand inloggen op het root-account uit te schakelen. Ook het gebruik van fail2ban wordt aangeraden.

"Brute force-aanvallen zijn éen van de oudste aanvallen. Doordat het zoveel voorkomt zijn er tal van oplossingen beschikbaar om er tegen te beschermen. Toch is een groot aantal systemen kwetsbaar", merkt Lin op. Hij waarschuwt dat het brute forcen van inloggegevens in de Top 10 van methodes staat waardoor bedrijven worden gehackt.

Reacties (5)
07-02-2015, 07:35 door linuxpro
Eigenlijk geen nieuws, aanvallen op SSH vinden continu plaats en worden bij ons afgevangen door met keys te werken en voor waar dat niet kan of wil gebruiken we de google-authenticator....
07-02-2015, 13:37 door [Account Verwijderd] - Bijgewerkt: 07-02-2015, 13:41
[Verwijderd]
07-02-2015, 20:22 door Anoniem
Sorry hoor maar op afstand op root inloggen toestaan geen ACL gebruiken en geen maximuim inlog pogingen toestaan is vragen om problemen.
07-02-2015, 23:09 door Anoniem
DDoS-botnet? voeg daar maar aan toe Amazon cloud, Linode servers, en china.
08-02-2015, 11:30 door Anoniem
Inloggen met wachtwoorden op SSH? Gewoon certificaten..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.