Groep bestookt SSH-servers met 300.000 wachtwoorden
Een groep cybercriminelen die sinds vorig jaar juni actief is voert op grote schaal aanvallen uit tegen SSH-servers, waarbij er via meer dan 300.000 unieke wachtwoorden wordt geprobeerd om in te loggen. Zodra er toegang tot de server is verkregen wordt er uiteindelijk een DDoS-rootkit geïnstalleerd.
Via deze rootkit kunnen de aanvallers de overgenomen server DDoS-aanvallen laten uitvoeren. De cybercriminelen worden door Cisco en Level 3 als "SSHPsychos" en "Group 93" aangeduid. De groep zou met de inlogpogingen zoveel verkeer genereren dat alle gezamenlijke aanvallen op SSH van andere partijen gecombineerd in het niets vallen. De aanvallen bleken vanaf verschillende netblocks (reeksen IP-adressen) afkomstig te zijn. In samenwerking met backboneprovider Level 3 werd besloten de netblocks die de groep gebruikte uit te schakelen.
Als onderdeel van het proces waarschuwde Level 3 de verantwoordelijke providers, waarop de groep cybercriminelen opeens een nieuw netwerk voor hun scans en aanvallen gebruikte. Vanwege deze plotselinge overstap besloten Cisco en Level 3 om de routeringsmogelijkheden voor zowel het oude als nieuwe netblock te verwijderen. Volgens Cisco zal dit "hopelijk" de activiteiten van de groep voor een bepaalde tijd vertragen.
De netwerkgigant merkt op dat "detectors en protectors" niet langer aan de zijkant kunnen blijven zitten als cybercriminelen op zo'n flagrante wijze systemen aanvallen. De maatregelen hebben echter alleen effect op het deel van internet dat door Level 3 wordt verzorgd. Cisco roept dan ook andere partijen op om kwaadaardig verkeer van deze groep op internet te blokkeren. "Door samen te werken kunnen we een groep elimineren die geen moeite doet om hun kwaadaardige activiteiten te verbergen", aldus het bedrijf.
Beetje knullig
Beetje knullig
Om dezelfde reden dat de inlogpagina van je website voor de buitenwereld open staat: Het is een dienst die je levert aan mensen op internet.
Als je iedere manier om ergens in te loggen blokkeert uit angst voor brute force aanvallen voor alles behalve het interne netwerk, kom je niet ver meer.
Peter
Beetje knullig
Waarom niet?, met de juiste maatregels, denk aan fail2ban, token access en pw challenge logon uitgeschakeld zijn er weinig bezwaren.
Beetje knullig
Ahum:
https://www.debian-administration.org/article/152/Password-less_logins_with_OpenSSH
Chears
Beetje knullig
Beetje knullige opmerking, SSH kan heel goed en veilig voor de buitenwereld open staan. Waarom zou dat niet kunnen volgens jou?
SSH openzetten voor de buitenwereld is typisch iets dat de luie ICT-medewerker zou doen.
Al zal een bruteforce niet snel zijn doel treffen, en dusdanig niet een probleem vormen maar, zwakheden binnen het OpenSSH-protocol wel.
Pff, speciaal aangepaste firewalls, inzetten voor SSH, het zorgt er misschien voor dat het wat langer duurt, maar dan noch het staat open en punt uit.
<sarcasme aan>
Ja, waarom zouden we überhaupt iets publiekelijk open zetten voor het internet?
Laten we allemaal SSH als een Tor hidden service opzetten om deze aanvallen tegen te gaan...
</sarcasme uit>
Er zijn redenen om de default poorten te gebruiken voor aangeboden services, en er zijn ook redenen om juist niet de default poorten te gebruiken.
Laten we er van uitgaan de dat mensen die het opzetten weten waarom ze voor het ene hebben gekozen, en als er iets gebeurt ze ook er uit kunnen leren en het eventueel op een andere manier opzetten.
De machine waar je opuit komt niet zomaar zondermeer toegang geven tot de rest van je services/netwerk.
Wat zou SSH dan onveiliger zijn dan b.v. luisteren naar een (Open)VPN connectie?
SSH openzetten voor de buitenwereld is typisch iets dat de luie ICT-medewerker zou doen.
BS.
Pff, speciaal aangepaste firewalls, inzetten voor SSH, het zorgt er misschien voor dat het wat langer duurt, maar dan noch het staat open en punt uit.
Er zijn meerdere, simpele, methoden om ervoor te zorgen dat een SSH server veilig voor de "buitenwereld" is, en je bent ook niet beperkt om er maar één van te gebruiken. Als jij die methoden niet kent dan zegt dat meer iets over jou: jij was te lui om ernaar te zoeken..
Erg constructief, jongens......
Erg constructief, jongens......
Beter lezen, of verwacht je een kant en klare oplossing voor jouw persoonlijke situatie?
SSH openzetten voor de buitenwereld is typisch iets dat de luie ICT-medewerker zou doen.
Dit slaat echt wel op pindakaas want je kunt ze zelf blokken in je firewall (host based) en/of je kunt van je sshd server de authenticatie ook alleen met certificaten toestaan (dus geen wachtwoorden meer en 10x zo veilig). Oftewel een hydra/botnet buteforce aanval is dan totaal nutteloos. Maar ja, goed configureren is ook heeeeeeel lastig....
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.