Nieuws
image

Onderzoekers scannen gehele internet op poort 22

maandag 16 september 2013, 12:43 door Redactie, 11 reacties

Een groep onderzoekers heeft het gehele internet op poort 22 gescand, de poort die voor het SSH-protocol is gereserveerd. Via SSH kunnen systeembeheerders op afstand op computers inloggen. De onderzoekers keken alleen naar de banner van de gescande poorten en probeerden niet in te loggen.

Deze banner bevat informatie over de gebruikte SSH-versie. Aangezien 40% van de data corrupt raakte, gelden de scangegevens voor 60% van het internet. Daaruit blijkt dat 1,7 miljoen systemen OpenSSH 4.3 draaien, gevolgd door een kleine 1,6 miljoen systemen met OpenSSH 5.3.

De cijfers zijn echter niet waterdicht, aangezien sommige netwerken een router hebben die alle verbindingen van een bepaalde poort naar een enkele machine doorstuurt. De reden dat de onderzoekers de ruwe resultaten publiceren is om te laten weten dat de scans worden uitgevoerd.

Meer poortscans

In tegenstelling tot scans op poort 80 (HTTP) en 443 (HTTPS) leverden de SSH-scans meer klachten op. In totaal kwamen er 58 klachten binnen, voornamelijk geautomatiseerd. Een aantal keren werd er gevraagd om de gescande IP-adressen en ranges niet nog een keer te scannen. De onderzoekers stellen dat ze in de toekomst het onderzoek gaan uitbreiden, onder andere naar FTP en SMTP. "Binnenkort hebben we wekelijkse scans voor zo'n 10 poorten."

Daarbij vragen de onderzoekers aan systeem- en serverbeheerders om het IP-adres (71.6.151.167) van de scanner aan de whitelist toe te voegen. "We zijn bekende beveiligingsonderzoekers, we proberen niets kwaadaardigs te doen en zijn zo transparant als mogelijk over onze scans."

Image

Reacties (11)
16-09-2013, 12:55 door Anoniem
71.6.151.167 staat bij deze dus op de blacklist.
Bedankt voor de transparantie, maar als je bij ons aanbelt, gaan wij er gewoon vanuit dat je ook binnen wilt.
Daarbij zijn de motieven voor het onderzoek onduidelijk, maar zal vast weer neerkomen op een white-paper om een product aan te schaffen...

Ik heb trouwens ook geen "expert" nodig om mij te vertellen dat je poort 22 niet open moet laten staan voor de grote boze buitenwereld.
16-09-2013, 14:32 door Anoniem
Als de poort 22 openstaat , kan er toch enkel ingelogd worden via ssh met gebruikersnaam en bijbehorend wachtwoord ?

So whats the big deal ?
16-09-2013, 14:38 door Rubbertje
Poort 22 wordt toch standaard door de firewall van je router/modem op 'stealth' gezet?
16-09-2013, 14:42 door [Account Verwijderd]
[Verwijderd]
16-09-2013, 14:44 door Anoniem
Bij mijn Belgische Provider Telenet wordt deze poort zelfs standaard gesloten. Alle poorten onder de 1024 kunnen niet door de gebruiker beheerd worden.. Enkel de ISP kan dit.
16-09-2013, 16:22 door Anoniem
Door Anoniem: Bij mijn Belgische Provider Telenet wordt deze poort zelfs standaard gesloten. Alle poorten onder de 1024 kunnen niet door de gebruiker beheerd worden.. Enkel de ISP kan dit.

Dat is dus een provider die ik nooit zou willen hebben. Een access provider moet access providen, niet filtering (tenzij op mijn verzoek). Wat als ik thuis een Web server (port 80) zou willen gaan draaien, moet ik dan eerst om toestemming van de provider vragen? En toegang vanaf het Internet via ssh (port 22) is na ping toch het ultieme bewijs dat ik thuis always-on Internet heb. Plus dat het rete-handig is om vanaf kantoor zo nu en dan thuis in te kunnen loggen, needless to say.

Groet, Simon (tevreden xs4all-klant).
16-09-2013, 17:38 door Anoniem
Helpt het blokkeren van poort 22 wel tegen SSH misbruik?
SSH connectie kan toch ook worden toegewezen aan een andere poort (hopelijk niet door malware).
Stuitte onder andere op dit artikel, zal het nog een paar keer moeten lezen voordat ik het begrijp.
Maar misschien kan een ander er wat mee en heeft het toegevoegde waarde voor reacties hier.
http://toic.org/blog/2009/reverse-ssh-port-forwarding/
16-09-2013, 17:52 door Anoniem
Door Anoniem: Als de poort 22 openstaat , kan er toch enkel ingelogd worden via ssh met gebruikersnaam en bijbehorend wachtwoord ?

So whats the big deal ?

- Brute force attacks
- Lek in de daemon

To name just two.
16-09-2013, 17:52 door Anoniem
Bij mij kunnen ze zo hard bonken als ze willen, alleen binnenkomend verkeer is de moeite waard en niet wat er buiten de deur gehouden is. Als ik al het verkeer wat op 22 loopt te bonken moet gaan melden dan heb ik daar ongeveer een dagtaak aan en 99% van de ISP doet er niks mee.
18-09-2013, 12:13 door Anoniem
Dit is mij maar een raar onderzoek. Als ik de resultaten zie dan zijn deze niet eens netjes sanitized.
Veel linux distro's hebben een eigen build versie zoals (OpenSSH_5.5p1 Debian-6+squeeze3) en de openssh versie 5.5 word dus niet opgeteld bij 5.5 van een andere distro. De resultaten kloppen al dus voor geen meter.

Dit is geen onderzoek (http://en.wikipedia.org/wiki/Scientific_method). Dit is iemand die met de onlangs gebouwde nmap techniek een range heeft gescant. En bij mij is scannen van systemen die niet van jouw zijn de eerste stap naar een succesvolle hack.
18-09-2013, 12:17 door Anoniem
HOSTNAME:/var/log# iptables -L -n | grep 71.6.151.167
DROP all -- 71.6.151.167 0.0.0.0/0

Sep 12 18:38:23 HOSTNAME sshdfilt[1280]: No ssh id string from client, blocking 71.6.151.167 after 0 chances

Scan methode is dus ook al slecht, ik ga er vanuit dat ze nu een tweede scan uitvoeren ze opeens bij 50% van de poorten niet meer kunnen verbinden. Mij mij in ieder geval automatische niet meer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search