Hackers die een server via een onveilig wachtwoord weten over te nemen wijzigen vaak na een paar dagen het wachtwoord, om te voorkomen dat er iemand anders met hun 'buit' vandoor gaat. Het gebruik van brute force-aanvallen om via SSH op een server in te loggen wordt al meer dan tien jaar gedaan. Toch is het nog altijd een succesvolle methode om servers te hacken.

Daniel Cid van beveiligingsbedrijf Sucuri zetten een honeypot-server neer en ontdekte dat 'root' nog altijd de meest geprobeerde gebruikersnaam is, gevolgd door 123456 en password als wachtwoord. Uiteindelijk wisten de aanvallers de honeypot van Cid over te nemen, zodat hij kon zien wat ze deden. Na voor de eerste keer te zijn ingelogd deden de aanvallers een aantal dagen niets.

Wachtwoord
Vervolgens werd er een veilig wachtwoord ingesteld, om andere kapers op de kust te weren. Aangezien de aanvallers in dit geval met een standaard account waren ingelogd, probeerden ze rootrechten te krijgen. "Je kunt zien dat ze 'su' proberen om root te worden en toen een IRC-bot lanceerden, precies hetzelfde als 10 jaar geleden", merkt Cid op.

Hij verwacht dan ook dat brute force-aanvallen via SSH voorlopig niet zullen verdwijnen. "Zolang mensen zwakke wachtwoorden gebruiken, zullen aanvallers ze proberen te brute forcen."

Beheerders krijgen het advies om SSH-sleutels te gebruiken en inloggen via wachtwoorden uit te schakelen. Als dat niet mogelijk is, moeten er veilige wachtwoorden gekozen en is het verstandig om alleen geautoriseerde IP-adressen op een whitelist te zetten.