Dit is toch al veel langer een ding: bruteforcen van ssh servers die naar internet open staan?
Kwestie van:

1. niet open zetten naar internet.
2. inloggen met een key ipv wachtwoorden.

Beetje zoals met RDP

Ja, een firewall en de beveiligings opties van openssh zelf. Verder misschien fail2ban, maar zeker geen antivirus zoals op Windows noodzakelijk is.

Dit is volledig afhankelijk van de functie van het systeem. Geen virusscanner voor bijv. een mailapplicatie, dan worden waarschijnlijk de virussen doorgestuurd naar derde bij het doorsturen.

Een actieve monitoring daar op is zeer wenselijk en voorkomt wellicht ellende bij andere.

Als je vandaag de dag nog root logins toestaat, password logins gebruikt/toestaat, en standaard geen fail2ban o.d gebruikt bij SSH/aan het net hangende systemen, heb je waarschijnlijk zitten slapen, of betreft het onbeheerde IOT troep.

En alleen al vanwege de irritante 'ruis' in de logs zou ik een andere poort voor SSH aanbevelen.(Kijk niet raar op dat wanneer je een verse VPS aanslingerd, er met een paar uur tijd honderden kansloze login pogingen zijn gedaan met wachtwoorden als 'student' , 'test' en dat soort kul).

Waarom niet? bang dat je ineens ziet dat Linux ook besmet kan zijn?
Juist bij webservers zou malware scannen heel goed zijn, hoeveel websites hebben geen upload mogelijkheden en hoe vaak worden er bugs gevonden in software waardoor geuploade bestanden ineens uitvoerbaar blijken.

Iedere computer die gebruik maakt van internet is een potentieel doelwit.

Keys vind ik zelf af en toe best lastig. Voor belangrijke servers doe ik het wel. Maar voor mijn dev servertje(s) lekker een wachtwoord.

SSH poort achter een andere poortnummertje gooien, Fail2Ban erop en let's go.

Natuurlijk kan Linux besmet raken. Het punt is dat bijna alle virussen voor Windows zijn gemaakt. Linux malware heeft alleen kans op een slecht geconfigureerd systeem, of door een zeer gerichte aanval door een overheid of hackersgroep. Een website met een uploadmogelijkheid dient op bestandsysteemniveau de executable flag uit te hebben staan. Softwarebugs veranderen daar niets aan. Je kunt natuurlijk best scannen, maar dat is dan vooral om windows malware te ontdekken.

Windows wordt vooral gebruikt op de desktop, door een zeer breed publiek en is daardoor veel kwetsbaarder voor social engineering of fishing.

Ik draai mijn servers grotendeels in de cloud of selfhosted (xcp-ng) en gebruik een lokale account die niet via ssh te benaderen is maar wel via de interface van de (self-hosted) virtualisatie omgeving (als aanvallers daar in zitten dan heb ik een groter probleem :P) als backup en keys voor ssh (secret key staat op mn yubikeys).

Even je statement aangepast zodat hij klopt aangezien je uitspraak echt niet alleen op Linux systemen van toepassing is. Malware heeft alleen een kans van slagen als een onderliggend systeem slecht geconfigureerd is. Dit gaat uiteraard ook op voor Windows systemen. Tenzij het om een zero-day gaat, dan zijn zowel Linux als Windows de sjaak.

3. Fail2ban installeren en goed configureren

https://en.wikipedia.org/wiki/Fail2ban


Ja, maar dan beter met een SSH tunnel. :-)

Nou heb ik dat nog nooit meegemaakt dat mijn Linux systeem geinfecteerd raakte (ja, er zit een virusscanner op), maar afgezien daarvan: een systeemherstel is in een kwartier uitgevoerd. Doe dat maar eens bij de concurentie.

Als alle spelers op de markt, Googlem, Apple, Microsoft enz zich eens volledig op hun eigen systeem zouden richten.

Deels richten Google, Apple, Microsoft etc zich natuurlijk op andere systemen vanwege PR.
Maar elk lek dat gevonden en gedicht word is nuttig, en dan maakt het niet uit wie dat vind.

En daarnaast is Microsoft is niet alleen eigenaar van Windows, maar ook van hun Azure Cloud. Als zij constateren dat in hun cloud de nodige klant systemen die Linux draaien in een botnet terecht komen, dan is dat wel degelijk een issue waar zij zelf last van hebben en wat ze aan willen pakken.

Wat ?
Je hebt maar 2 commando's nodig, en dan even Password login uitzetten in SSH....
Pageant je cert inladen en je hoeft niet eens meer een wachtwoord te gebruiken....

Sorry, maar dit is gewoon luiheid.

De Key op een makkelijke toegankelijke plek zetten. (gebruikersvriendelijkheid)
SSH is zo lek als een mandje met de zwakste schakel in een ketting.

g e b l a a t

Laten we het nog breder maken naar *ALLES* vormt een gevaar als het op enige manier benaderd kan worden.

Ik snap werkelijk waar niet waar sommige hier het idee vandaan halen dat ze geen beveiliging maatregelen moeten nemen tegen malware omdat malware linux gebaseerde besturing systemen niet zou kunnen raken of enkel als doorgeef luik dient of omdat het meeste van malware geschreven is voor Windows. Toetsen jullie wel eens de adviezen voor je ze geeft want dit klinkt als iets gehoord van een youtube of random artikel op internet wat lulkraak als waarheid wordt opgenomen.

Durft iemand dat ook met hun handtekening eronder tijdens een audit?
Ik vond het niet nodig om malware beveiliging toe te passen want het is linux.
Er komen dan twee adviezen uit 1. beveiliging moet beter 2. HR plaats een nieuwe vacature.


Hier een actief voorbeeld waarom je malware scans gebruikt .sp3ctra_XO.php
https://www.wordfence.com/blog/2022/05/millions-of-attacks-target-tatsu-builder-plugin/




De kans dat je gehele server direct gevaar loopt is gering met dit soort malware maar de kans dat een dienst op je server gevaar loopt is groter en als die eenmaal gecompromiteerd is kan er dieper gegraven gaan worden met als mogelijk gevolg silent interception van B2C, B2B transacties, IP en domein reputatie schade, algemene accountability door content defacement, phising, botnet enslavement voor DDoS of cryptofarm..

Hier nog een leuk voorbeeldje van 2021 'van een veel meer serieuze linux dreiging genaamd CronRAT
https://www.bleepingcomputer.com/news/security/new-linux-malware-hides-in-cron-jobs-with-invalid-dates/

En hier een zeer recente hack op een Linux infra
https://wikidot.com/

Welk systeem je ook gebruikt als je verantwoordelijk bent voor een netwerk regel je infrastructuur beveiliging for f sake
En zorg dat je primaire secundaire offsite back-up infra ook in orde is.
Firewall soft en hardware variant liefst een third generation type (NGFW)
Malware scanners (primair + secundair)
Rootkit scanner
End point protection (EPP) indien ook sprake is van client hardware.
Intrusion detection software (IDS)
Security information and event management dashboard (SIEM)
Deep Malware Analysis service of software


Een server, netwerk en bijhorende infra *is geen speelgoed*. Je bent aansprakelijk voor wat er gebeurd en verantwoordelijk voor de veiligheid van je gebruikers en bezoekers Als je werkelijk waar niet snapt dat alles wat extern benaderbaar is *ten alle tijden gevaar loopt* dan ben je niet gekwalificeerd om te werken met productie omgevingen in enige capaciteit.

Door dit soort naïviteit en kennis overschatting dat men toch niks kan overkomen vanwege X Y Z zonder business impact analysis (BIA) hebben we juist zo berg aan ellende qua datalekken, ransomware in deze industrie. En zelfs zonder die slechte eigenschappen zitten we nog steeds met het kat en muis spel dat aanvallers meer tijd hebben dan wij verdedigers om gaten te prikken in enige infra. Naast de toename aan Advanced Perisistent Threats (APT) waar we onder andere mee zitten door de hele EU, VS vs RU situatie.

Wordt in hemelsnaam wakker.

Misschien kan deze briljante opmerking verduidelijken?

Bottom line, voor zover mij bekend is SSH helemaal niet zo lek als een mandje. Als dat wel zo is, kom dan met bewijs in plaats van willekeurige opmerkingen. En over "de zwakste schakel in een ketting": dat gegeven is nog ouder dan de weg naar Rome, dus vertel eens wat nieuws.

Zoals gewoonlijk is dat weer totale onzin, als de permissies voor een ssh key of directory niet dicht genoeg staan krijg je een melding en werkt de key niet eens.

Trollen is jouw grootste hobby.

Als dat wel zou zijn zou er onder Linux heel veel ransomware geïnstalleerd worden en dat gebeurd niet. Aandeel voorlopig 0% en de teller loopt.

Weer zo’n kots reactie. Man ga iets zinnigs met je leven doen i.p.v. hier altijd de zaak lopen te verzieken.

Ieder menselijk gebruik van software is kwetsbaar, niks is 100% waterdicht te maken.
Maar goed, je hebt weer aandacht en dat is het enige wat telt voor je.

Het mooie is dat er nog niet 1 kans heeft gezien effectief te zijn en dat zonder antivirus software.
Vrij domme opmerking van Microsoft want die XorDos is niet eens in staat gebleken binnen te komen. Dus als er aan de poort wordt gerammeld moet de poort worden verdedigd met inhuurtroepen. Ik geef je op een briefje dat de poort opengaat juist door die corrupte inhuurtroepen. Microsoft wil die inhuurtroepen graag aanleveren en denkt een markt te kunnen creëren.
Zoals al is genoemd. Alleen inloggen met keys en fail2ban aan (max 3 pogingen dan tijdje een ban) en ze komen echt niet binnen met bruteforce attacks.

Ik heb een hekel aan wc-eenden die beperkt zijn tot wc-eend. Het geeft namelijk zo'n rommel

Kijk daar gaat er weer een:
In zijn wiek geschoten en de werkelijkheid negerend.

Je “vergeet” weer eens inhoudelijk te reageren op argumenten van anderen, mij mag je gewoon negeren. Is ook goed voor je tellertje van 12000+ postings.


En zo gaat het al jaren, je flikkert iets over de schutting, mensen komen met goede argumenten waarom je ongelijk hebt en vervolgens reageer je niet eens meer.

Het getuigd van weinig respect als je als deelnemer aan een gesprek of nu schriftelijk of mondelinge vorm is enkel de punten highlight die in je voordeel zijn. Dat doe je in een rechtzaak als advocaat niet als het gaat om publieke discussies.

Je kan het met mensen oneens zijn prima je kan zelfs zeggen dat iemand ongelijk heeft en het toelichten maar het gebruik van ad hominem is een zwakte bod. Het zegt naar mij ieder geval dat je je eigen argumentatie niet sterk genoeg vind om het te verdedigen of niet belangrijk genoeg vind. Beide zijn zeer slecht om te verkondigen naar je lezers. Je had beter the devils advocate kunnen spelen om enige zwakte in de data en of argument te highlighten nu is het tijdverspilling voor de lezers geweest en heb je ze de kans gegeven met sterkere argumenten te komen waardoor jou reactie pretty unintelligent overkomt. Dus feliciteerd met jezelf trollen.

En het hele wc eend ding zonder argument is niks waard.. Ja uiteraard is er marketing technisch een reden dat Microsoft dit schrijft dat is voor elke commerciele dienst het geval. Ze schrijven het niet als charity work maar de onderzoeks data is solide geschreven en het enige stukje pure bias en marketing technisch wat ik heb kunnen vinden is volgende:

Ervoor is het de werkwijze van de malware en erna is het de uitleg hoe in Defender een gebruiker het beste zich hier tegen wapend. Voor zo een uitgebreid in detail gaand artikel is de bias echt tot minimale gehouden en zeker buiten de onderzoeksdata.

Hier een tip hoe je snel bias kan vinden. Neem de keywords die men wil verkopen doe een search all op de pagina en kijk waar ze verschijnen. Als ze overal door gesprinkelt zitten dan is bias zeer plausibel op de onderzoeksdata. Zit het enkel aan het eind dan betekend dat de marketeers waarschijnlijk de bezoeker tot het einde met rust hebben gelaten en vertrouwen erop dat de informatie genoeg is om de aandacht vast te houden tot de commerciele boodschap.

Dus hoofd conclussies uit het stuk.
XorDDoS is malware (feit)
XorDDoS target linux (feit)
XorDDoS komt vaker voor bij cloud infrastructure en IoT feit)
XorDDoS wordt gebruikt voor botnet creatie (feit)
XorDDoS wordt meer waargenomen dan periode ervoor door Microsoft (feit)
XorDDoS is afhankelijk van SSH bruteforcing (feit)
XorDDoS probeert covert enige paypload uit te voeren (feit)
XorDDoS wordt gebruikt als backdoor voor andere malware families (feit)

Microsoft Defender kan je infra verdedigen tegen XorDDoS (feit)
Microsoft Dender kan de aanvals route tonen van XorDDoS op de infra (feit)
Microsoft Defender is een product van Microsoft (feit)
Microsoft heeft belang erbij dat mensen Microsoft Defender gebruiken, kopen (feit)

Ik zie zeker slechter geschreven security research dagelijks langskomen.
Gratis trend analyse en solide ontleding van malware is in my books altijd welkom.

@14:15 Anoniem

Ze gooien alle Linux distributies op een grote hoop maar lijken het alleen getest te hebben op een RedHat (of variant) zonder dat daar SELINUX aanstaat wat tegenwoordig de default is voor de RH(-achtige) distro's die ik ken. Daarnaast zwijgen ze over het OS van het initiele botnet waardoor die Linux machines aangevallen worden.

Al met al een zwak rapport in mijn ogen en eigenlijk alleen een marketing artikel om MS Def. proberen te verkopen.

Inderdaad prima onderzoek
Dat is wat niet door linux adepten zo geaccepteerd wordt. kijk maar naar de bovenstaande reactie. 17:34

De kop klopt niet. Malware infecteert geen Linux systemen omdat er maar heel weinig kritieke CVE's voorkomen.

Je hoeft geen gebruik te maken van een kwetsbaarheid als je 123456 als wachtwoord gebruikt voor je ssh connectie.
Je heb het artikel niet gelezen of niet begrepen.

Het is geen prima onderzoek, Microsoft geeft gewoon té weinig details.

euh https://www.security.nl/posting/755264/Nieuwe+aanval+via+Microsoft+Office-documenten+werkt+zonder+macro%27s