Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Linuxservers zijn al enkele maanden het doelwit van een DDoS-botnet dat via SSH machines probeert over te nemen om ze vervolgens voor DDoS-aanvallen in te zetten. De aanval bestaat uit drie verschillende fases waarbij tienduizenden wachtwoorden worden geprobeerd om via SSH in te loggen.

Het botnet laat daarbij besmette machines een bepaald aantal keren inloggen voordat een volgend IP-adres voor het uitvoeren van de aanval wordt ingezet. Volgens beveiligingsbedrijf FireEye gebruiken de aanvallers onder andere een aangepaste versie van de Rock You-wachtwoordenlijst. In het geval de inlogpoging succesvol is wordt er meteen weer uitgelogd. Binnen 24 uur wordt er vanaf een ander IP-adres ingelogd. De aanvallers doen dit op een manier waarbij ze de standaard logging weten te omzeilen en zo geen sporen achterlaten.

Na te zijn ingelogd wordt uiteindelijk de "XOR.DDoS" malware geïnstalleerd. Op de honeypotservers van FireEye werden binnen drie maanden tijd bijna 1 miljoen inlogpogingen van de aanvallers waargenomen. Volgens onderzoekers van het bedrijf is XOR.DDoS één van de meer geavanceerde malwarefamilies voor Linux. Het ondersteunt daarnaast meerdere platformen, waaronder x86 en ARM. "Netwerkapparaten en embedded systemen zijn het kwetsbaarst voor SSH brute force-aanvallen", stelt analist Michael Lin.

Hij merkt op dat het niet altijd mogelijk of duidelijk is voor een eindgebruiker hoe dit soort systemen tegen deze aanvallen beschermd kunnen worden. Gebruikers krijgen echter het advies om hun SSH-server zo in te stellen dat er encryptiesleutels worden gebruikt in plaats van wachtwoorden. Verder wordt er geadviseerd om het op afstand inloggen op het root-account uit te schakelen. Ook het gebruik van fail2ban wordt aangeraden.

"Brute force-aanvallen zijn éen van de oudste aanvallen. Doordat het zoveel voorkomt zijn er tal van oplossingen beschikbaar om er tegen te beschermen. Toch is een groot aantal systemen kwetsbaar", merkt Lin op. Hij waarschuwt dat het brute forcen van inloggegevens in de Top 10 van methodes staat waardoor bedrijven worden gehackt.

 

 

bron: security.nl

 

 

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.