Nieuws

Groep bestookt SSH-servers met 300.000 wachtwoorden

vrijdag 10 april 2015, 10:00 door Redactie, 17 reacties

Een groep cybercriminelen die sinds vorig jaar juni actief is voert op grote schaal aanvallen uit tegen SSH-servers, waarbij er via meer dan 300.000 unieke wachtwoorden wordt geprobeerd om in te loggen. Zodra er toegang tot de server is verkregen wordt er uiteindelijk een DDoS-rootkit geïnstalleerd.

Via deze rootkit kunnen de aanvallers de overgenomen server DDoS-aanvallen laten uitvoeren. De cybercriminelen worden door Cisco en Level 3 als "SSHPsychos" en "Group 93" aangeduid. De groep zou met de inlogpogingen zoveel verkeer genereren dat alle gezamenlijke aanvallen op SSH van andere partijen gecombineerd in het niets vallen. De aanvallen bleken vanaf verschillende netblocks (reeksen IP-adressen) afkomstig te zijn. In samenwerking met backboneprovider Level 3 werd besloten de netblocks die de groep gebruikte uit te schakelen.

Als onderdeel van het proces waarschuwde Level 3 de verantwoordelijke providers, waarop de groep cybercriminelen opeens een nieuw netwerk voor hun scans en aanvallen gebruikte. Vanwege deze plotselinge overstap besloten Cisco en Level 3 om de routeringsmogelijkheden voor zowel het oude als nieuwe netblock te verwijderen. Volgens Cisco zal dit "hopelijk" de activiteiten van de groep voor een bepaalde tijd vertragen.

De netwerkgigant merkt op dat "detectors en protectors" niet langer aan de zijkant kunnen blijven zitten als cybercriminelen op zo'n flagrante wijze systemen aanvallen. De maatregelen hebben echter alleen effect op het deel van internet dat door Level 3 wordt verzorgd. Cisco roept dan ook andere partijen op om kwaadaardig verkeer van deze groep op internet te blokkeren. "Door samen te werken kunnen we een groep elimineren die geen moeite doet om hun kwaadaardige activiteiten te verbergen", aldus het bedrijf.

Gehackte Franse tv-zender lekte wachtwoorden in reportages

Firefox passeert 100 miljoen downloads op Android

Reacties (17)

10-04-2015, 10:33 door _R0N_

Waarom staat SSH open voor de buitenwereld?
Beetje knullig

10-04-2015, 10:58 door Anoniem

Door _R0N_: Waarom staat SSH open voor de buitenwereld?
Beetje knullig

Om dezelfde reden dat de inlogpagina van je website voor de buitenwereld open staat: Het is een dienst die je levert aan mensen op internet.

Als je iedere manier om ergens in te loggen blokkeert uit angst voor brute force aanvallen voor alles behalve het interne netwerk, kom je niet ver meer.

Peter

10-04-2015, 11:10 door Anoniem

Door _R0N_: Waarom staat SSH open voor de buitenwereld?
Beetje knullig

Waarom niet?, met de juiste maatregels, denk aan fail2ban, token access en pw challenge logon uitgeschakeld zijn er weinig bezwaren.

10-04-2015, 11:10 door dutchfish

Door _R0N_: Waarom staat SSH open voor de buitenwereld?
Beetje knullig

Ahum:
https://www.debian-administration.org/article/152/Password-less_logins_with_OpenSSH

Chears

10-04-2015, 11:49 door Anoniem

Door _R0N_: Waarom staat SSH open voor de buitenwereld?
Beetje knullig

Beetje knullige opmerking, SSH kan heel goed en veilig voor de buitenwereld open staan. Waarom zou dat niet kunnen volgens jou?

10-04-2015, 12:35 door [Account Verwijderd]

[Verwijderd]

10-04-2015, 12:38 door [Account Verwijderd]

[Verwijderd]

10-04-2015, 17:25 door Anoniem

Volgensmij moeten er een aantal IT''ers een andere branche zoeken.
SSH openzetten voor de buitenwereld is typisch iets dat de luie ICT-medewerker zou doen.
Al zal een bruteforce niet snel zijn doel treffen, en dusdanig niet een probleem vormen maar, zwakheden binnen het OpenSSH-protocol wel.

Pff, speciaal aangepaste firewalls, inzetten voor SSH, het zorgt er misschien voor dat het wat langer duurt, maar dan noch het staat open en punt uit.

10-04-2015, 23:40 door Anoniem

Vind ik een terechte opmerking van _RON_. Waarom zou je jouw SSH publiek maken, tenzij het voor klanten is zie ik hier voor de rest niets nuttig aan? De hostingprovider waar mijn site op draait biedt de mogelijkheid aan om via een externe firewall enkel bepaalde IP adressen toe te laten. Ik veronderstel dat mijn IHP niet de enige is. Je mag met de beste anti-bruteforce tools afkomen maar zoals 'Anoniem 17:25' al aangaf niets ik zo veilig als een poort gewoon ontoegankelijk maken.

11-04-2015, 14:43 door Anoniem

Waar het over gaat hierboven is bv een hosting biedt jou een vpn om secure inteloggen over t LAN netwerk op je server.

13-04-2015, 09:17 door Anoniem

Door Anoniem: Vind ik een terechte opmerking van _RON_. Waarom zou je jouw SSH publiek maken, tenzij het voor klanten is zie ik hier voor de rest niets nuttig aan? De hostingprovider waar mijn site op draait biedt de mogelijkheid aan om via een externe firewall enkel bepaalde IP adressen toe te laten. Ik veronderstel dat mijn IHP niet de enige is. Je mag met de beste anti-bruteforce tools afkomen maar zoals 'Anoniem 17:25' al aangaf niets ik zo veilig als een poort gewoon ontoegankelijk maken.

<sarcasme aan>
Ja, waarom zouden we überhaupt iets publiekelijk open zetten voor het internet?
Laten we allemaal SSH als een Tor hidden service opzetten om deze aanvallen tegen te gaan...
</sarcasme uit>

Er zijn redenen om de default poorten te gebruiken voor aangeboden services, en er zijn ook redenen om juist niet de default poorten te gebruiken.
Laten we er van uitgaan de dat mensen die het opzetten weten waarom ze voor het ene hebben gekozen, en als er iets gebeurt ze ook er uit kunnen leren en het eventueel op een andere manier opzetten.

13-04-2015, 11:48 door Anoniem

SSH aan, geen root login, geen password login alleen key login met sterk password, fail2ban aan. FW fatsoenlijk africhten.
De machine waar je opuit komt niet zomaar zondermeer toegang geven tot de rest van je services/netwerk.

Wat zou SSH dan onveiliger zijn dan b.v. luisteren naar een (Open)VPN connectie?

13-04-2015, 13:29 door Anoniem

Door Anoniem: Volgensmij moeten er een aantal IT''ers een andere branche zoeken.
SSH openzetten voor de buitenwereld is typisch iets dat de luie ICT-medewerker zou doen.

BS.

Al zal een bruteforce niet snel zijn doel treffen, en dusdanig niet een probleem vormen maar, zwakheden binnen het OpenSSH-protocol wel.

Pff, speciaal aangepaste firewalls, inzetten voor SSH, het zorgt er misschien voor dat het wat langer duurt, maar dan noch het staat open en punt uit.

Er zijn meerdere, simpele, methoden om ervoor te zorgen dat een SSH server veilig voor de "buitenwereld" is, en je bent ook niet beperkt om er maar één van te gebruiken. Als jij die methoden niet kent dan zegt dat meer iets over jou: jij was te lui om ernaar te zoeken..

13-04-2015, 16:59 door Anoniem

Iedereen beweerd, maar niemand die weet hoe het moet (en het hier toont).
Erg constructief, jongens......

13-04-2015, 18:11 door Anoniem

Door Anoniem: Iedereen beweerd, maar niemand die weet hoe het moet (en het hier toont).
Erg constructief, jongens......

Beter lezen, of verwacht je een kant en klare oplossing voor jouw persoonlijke situatie?

14-04-2015, 01:54 door Anoniem

Door Anoniem: Volgensmij moeten er een aantal IT''ers een andere branche zoeken.
SSH openzetten voor de buitenwereld is typisch iets dat de luie ICT-medewerker zou doen.

Dus een ICT-medewerker die het protocol precies zo inzet als het bedoeld is is lui? Zijn ze lui bij XS4ALL qua beveiliging? Die hebben TCP-poort 22 bewust open staan, en daar maak ik regelmatig gebruik van.

Al zal een bruteforce niet snel zijn doel treffen, en dusdanig niet een probleem vormen maar, zwakheden binnen het OpenSSH-protocol wel.

OpenSSH is geen protocol, het communicatieprotocol heet SSH en er bestaan diverse implementaties van in software, waaronder OpenSSH. Zelfs een luie ICT-medewerker die dit installeert en configureert zal het onderscheid in de eerste regel van de pakketbeschrijving van OpenSSH zijn tegengekomen.

Pff, speciaal aangepaste firewalls, inzetten voor SSH, het zorgt er misschien voor dat het wat langer duurt, maar dan noch het staat open en punt uit.

Hmm, in de logs van mijn webserver zie ik ook heel wat pogingen langskomen om binnen te komen. Moeten alle webservers ook worden losgekoppeld van het internet?

14-04-2015, 12:05 door Anoniem

Waarom nemen ze contact op met een service provider / backbone om deze netblocks te blokkeren?
Dit slaat echt wel op pindakaas want je kunt ze zelf blokken in je firewall (host based) en/of je kunt van je sshd server de authenticatie ook alleen met certificaten toestaan (dus geen wachtwoorden meer en 10x zo veilig). Oftewel een hydra/botnet buteforce aanval is dan totaal nutteloos. Maar ja, goed configureren is ook heeeeeeel lastig....

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer