Nieuwe SSH aanvallen omzeilen blacklist
Uit een aantal recente incidenten blijkt dat er een nieuwe manier is om "brute-force" SSH aanvallen uit te voeren. In plaats dat de hosts van het SSH botnet razendsnel tussen IP-adressen switchen en keer op keer een "login fail" veroorzaken, gaat het nu georganiseerder. Ze proberen slechts één of twee keer van hetzelfde IP in te loggen voordat ze verder gaan, waarna een ander IP van het botnet een nieuwe inlogpoging uitvoert. Het IP-adres komt wel meerdere keren voor, maar met lange tussenpauzen. Simpele, lokale IDS's (Intrusion Detection Systeem) geven zich dan al snel gewonnen. Een bijkomend feit is dat ze zich op hele specifieke SSH servers richten. Afhankelijk van de grootte van de aanval, kan een "distributed" SSH aanval voor duizenden inlogpogingen op een één account zorgen.
Detectie systeem
Onderzoeker Jamie Riden ontdekte de aanval toen hij in plaats van de gebruikelijke 20.000 dagelijkse alerts, nu ruim 200.000 meldingen in het Instrusion Detection System (Snort) zag, dat alarm slaat op basis van de "potential SSH scan" rule. Riden wist direct dat er iets niet in de haak was en dat er in het weekend enorm veel kwaadaardige activiteiten hadden plaatsgevonden. Een van de machines die meehielp met de aanval bevond zich in het netwerk van de beveiliger.
"De eigenaar was erg verrast toen hij hoorde wat er aan hand was. Ik haalde de machine direct uit het netwerk", gaat Riden verder. "Hierna heb ik de computer met een op Knoppix-gebaseerd besturingssysteem opgestart, zodat ik een kijkje kon nemen in het besturingssysteem. Als je denkt dat er kans is in de rechtszaal te belanden, raad ik aan voorzichtiger te zijn dan ik was, en Backtrack te gebruiken, dat speciaal voor dit soort incidenten ontworpen is", aldus de onderzoeker. Toen hij de /var/log/auth.log onderzocht, kwam naar voren dat de machine wachtwoorden probeerde te raden op de "openssh daemon" server. De computer van het slachtoffer scande ook op andere netwerken naar SSH servers. De conclusie was dan ook dat de computer zelf overgenomen was door middel van "password-guessing". In artikel zelf is te lezen hoe het ssh-entries-log eruit zag.
Blacklisting
Een mogelijk antwoord op de aanvallen lijkt een blacklist te zijn, die het aantal gefaalde inloginpogingen van één IP-adres telt en vervolgens adressen die de opgegeven interval overschrijden, op een blacklist of als rule in de firewall plaatst. Het systeem houdt vervolgens verdere inlogpogingen van desbetreffende IP-adres tegen. Een andere oplossing is een andere poort toekennen aan SSH. Deze manier is niet waterdicht, omdat aanvallers via een poortscan alsnog de SSH poort kunnen achterhalen. Verder kunnen gebruikers als alternatief cryptografische sleutels gebruiken. Uit deze cijfers blijkt dat brute-forcers "root" als gebruikersaccount en "123456" en "password" het vaakst als wachtwoord proberen.
1 goede les schakel root login altijd uit als je ssh poort voor buiten open hebt, maak gewone een aparte user met root privileges aan :)
root:x:0:0:root:/root:/sbin/nologin
Werkt zeer effectief :)
gewoon root login disablen binnen SSH is veel verstandiger.. of alleen met een key rootlogin toestaan:
PermitRootLogin no
of
PermitRootLogin without-password
gewoon root login disablen binnen SSH is veel verstandiger.. of alleen met een key rootlogin toestaan:
PermitRootLogin no
of
PermitRootLogin without-password
Je hebt gelijk maar als je deze user ook root maakt hoef je niet te su en en ja ik weet het nooit slim om volledige root acces te gebruiken maar ik heb genoeg vertrouwen in me zelf :)
Met behulp van Access Diver en een lijst met IP adressen van Transparant Proxy's "testte" ik jaren gelden al, natuurlijk in een compleet geconditioneerde testomgeving, Brute Force aanvallen.
Voor diegene die het niet kennen:
Je start Access Diver op
Vult een login acount in (bijv. admin)
Hangt daar een "password woordenboek lijst"aan.
Importeert een lijst met IP adressen van Anonimous Proxies over de gehele wereld (kun je ook weer eerst even laten testen)
En dan laat je gerouleerd inloggen.
Je gaat lekker TV kijken en als je Ping Pong hoort dan ben je binnen.
Hacken voor Dummies dus ( uhhh volgens mij diskwalificeer ik mezelf met deze uitspraak ;-)
Google maar eens op Access Diver en bekijk de filmpjes eens, of download het en test het eens uit op je LAN of bij een vriend die je dan eerst even op de hoogte brengt om politiek correct te blijven.
Is dit niet alleen voor HTTP bruteforcing voornamelijjk voor .htaccess / .htpasswd protected websites zoals veelal gebruikt wordt voor het hacken sex sites :)
Wist niet dat het ook werkte voor ssh dacht alleen maar voor poort 80 / 8080 :)
Tenminste dat was een x aantal jaren gelden toen ik het zelf ook gebruikte :)
1 goede les schakel root login altijd uit als je ssh poort voor buiten open hebt, maak gewone een aparte user met root privileges aan :)
root:x:0:0:root:/root:/sbin/nologin
Werkt zeer effectief :)
en hoe configureer jij nu je systeem?
(want je kan niet meer inloggen!)
na iedere misluckte poging wordt X aantal seconden steeds langer en langer...... en langer..................................
na iedere misluckte poging wordt X aantal seconden steeds langer en langer...... en langer..................................
Ik denk dat je Denyhosts bedoelt. Een echte aanrader wat mij betreft.
Verder helpt het als je in /etc/ssh/sshd_config "AllowUser" gebruikt, alleen accounts die daar staan mogen remote inloggen. Tot slot scheelt het ook een hoop als je je SSH-server op een andere poort configureert.
Dus:
- inloggen in het buitenland niet doen, tenzij je je eigen laptop meeneemt. Doe je dat wel, omdat de nood aan de man is, dan collega wachtwoord laten veranderen vanaf het werk.
- alleen inloggen bij managed servers van klanten op het werk of vanaf thuis.
Voor de meeste mensen resteert dan ook alleen het eigen IP-adresblok van thuis en eventueel vanaf werk of een colocatie. Dat zijn dus maximaal drie allow-regels.
Patrick
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.